Tata Kelola Teknologi Informasi Berdasarkan Framework Cobit 4.1 Pada Perusahaan Daerah Air Minum Surabaya

Transkripsi

1 Tata Kelola Teknologi Informasi Berdasarkan Framework Cobit 4.1 Pada Perusahaan Daerah Air Minum Surabaya Tugas Akhir Program Studi S1 Sistem Informasi Oleh: Reza Oktorio Saputro FAKULTAS TEKNOLOGI DAN INFORMATIKA INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2017

2 TATA KELOLA TEKNOLOGI INFORMASI BERDASARKAN FRAMEWORK COBIT 4.1 PADA PDAM SURABAYA TUGAS AKHIR Diajukan sebgai salah satu syarat untuk menyelesaikan Program Sarjana Sistem Informasi Disusun Oleh : Nama : Reza Oktorio Saputro NIM : Program : S1 (Sarjana Strata Satu) Jurusan : Sistem Informasi FAKULTAS TEKNOLOGI DAN INFORMATIKA INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2017 i

3 ii

4 PERNYATAAN Dengan ini saya, Reza Oktorio Saputro menyatakan dengan benar, bahwa Tugas Akhir ini adalah hasil karya saya, bukan plagiat baik sebagian maupun keseluruhan. Karya atau pendapat orang lain yang ada dalam Tugas Akhir ini hanya semata rujukan yang dicantumkan dalam Daftar Pustaka. Apabila dikemudian adanya tindakan plagiat pada Tugas Akhir ini, maka saya bersedia untuk dilakukan pencabutan terhadap gelar kesarjanaan yang telah diberikan kepada saya. Surabaya, Maret 2017 Reza Oktorio Saputro NIM: iii

5 iv

6 LEMBAR MOTTO Manjadda wa Jadda v

7 LEMBAR PERSEMBAHAN Saya persembahkan untuk ayah dan ibu tercinta para dosen Sistem Informasi para kerabat yang telah mendukung dan membantu saya vi

8 ABSTRAK PDAM Surabaya merupakan unit usaha milik daerah yang berperan krusial dalam pemenuhan kebutuhan air bersih masyarakat yang menerapkan TI untuk membantu dalam pencapaian tujuan bisnis perusahaan. Dalam penerapannya, maturity level pengelolaan TI pada PDAM Surabaya adalah tidak adanya pengawasan untuk menjalankan prosedur, sehingga berisiko terjadinya banyak penyimpangan dan ketidaksesuaian antara proses operasional yang dijalankan dengan policy yang sudah diatur. Solusi untuk menghadapi permasalahan tersebut, perlu adanya sebuah tata kelola TI sehingga dapat menghasilkan keluaran yang maksimal kepada perusahaan, membantu proses pengambilan keputusan, serta membantu proses pemecahan masalah. Sebagai dasar penyusunan adalah framework COBIT 4.1. Luaran dari tata kelola TI adalah dokumen yang meliputi: 1) Keselarasan tujuan TI dengan tujuan bisnis yang tergambarkan oleh 8 Primary dan 7 Secondary IT Process yang mendukung pencapaian Strategic Aligment pada Focus Area IT Governance. 2) Hasil pengolahan kuisioner mendapati nilai as-is pada level Defined Process, sementara hasil wawancara mendapati nilai to-be pada level Manage and Measurable, dengan nilai gap sebesar ) Terdapat 22 tahapan yang perlu diperhatikan dalam menjalankan proses teknologi informasi. 4) Terdapat 22 rekomendasi penerapan tata kelola TI berdasarkan framework COBIT 4.1 tiap IT Process dalam rangka melaksanakan pemantauan pengelolaan dan pengukuran. Kata Kunci: Framework COBIT 4.1, Gap Analysis, Maturity Level, PDAM Surabaya, Tata Kelola Teknologi Informasi. vii

9 KATA PENGANTAR Puji syukur kehadirat Allah SWT atas segala limpahan rahmat dan hidayah- Nya yang diberika sehingga penulis bisa menyelesaikan Tugas Akhir yang berjudul Tata Kelola Teknologi Informasi Berdasarkan Framework Cobit 4.1 Pada Perusahaan Daerah Air Minum Surabaya dengan baik. Tugas Akhir ini disusun dalam rangka memenuhi salah satu syarat dalam menempuh Strata 1 di Institut Bisnis dan Informatika Stikom Surabaya, Jawa Timur. Tugas Akhir ini dapat diselesaikan dengan baik karena adanya perhatian, bimbingan, petunjuk, pengarahan dan bantuan serta dorongan dari berbagai pihak yang telah membantu penulis dengan banyak mengorbankan waktu, tenaga, dan pikiran dengan tulus dan ikhlas demi kepentingan penulis. Untuk itu pada kesempatan ini penulis ingin mengucapkan terima kasih kepada: 1. Ibu, Bapak, kakak dan seluruh keluarga yang selalu memberikan dukungan, do a dan motivasi kepada penulis dalam menyelesaikan Tugas Akhir. 2. Bapak Erwin Sutomo, S.Kom, M.Eng. selaku dosen pembimbing satu yang banyak memberikan masukan, koreksi, semangat serta motivasi dan pandangannya kepada penulis dalam menyelesaikan Tugas Akhir. 3. Bapak Yoppy Mirza Maulana, S.Kom., M.MT. selaku dosen pembimbing dua yang banyak memberikan masukan, koreksi, semangat serta motivasi dan pandangannya kepada penulis dalam menyelesaikan Tugas Akhir. 4. Ibu Pantjawati Sudarmaningtyas, S.Kom., M.Eng. sebagai pembahas Tugas Akhir penulis atas arahan dan koreksi dalam menyelesaikan Tugas Akhir. viii

10 5. Bapak Tatang selaku Software Supervisor pada divisi TSI PDAM Surabaya beserta Staf IT yang telah banyak membantu penulis dalam menyelesaikan Tugas Akhir. 6. Sahabat-sahabat penulis yang senantiasa membantu, menghibur dan selalu ada dalam pembuatan Tugas Akhir. 7. Keluarga Besar Stikom dan pihak-pihak lain yang tidak dapat disebutkan satupersatu yang telah memberikan bantuan dan dukungan kepada penulis. Dalam penyusunan Tugas Akhir ini penulis menyadari bahwa masih jauh dari kesempurnaan atau adapun kelemahan-kelemahan dari penulis dalam penulisan Tugas Akhir ini, baik itu kurangnya fasilitas yang mendukung seperti buku-buku yang begitu terbatas dalam menjamin penyelesaian penulisan Tugas Akhir ini sehingga kritik dan saran yang bersifat konstruktif baik itu dari dosen maupun dari rekan-rekan mahasiswa/mahasiswi sangatlah diharapkan untuk membantu proses penulisan lebih lanjut. Oleh karena itu, dengan senang hati penulis mengharapkan kritik dan saran yang membangun agar bisa membawa ke arah yang lebih baik bagi kita semua. Surabaya, Maret 2017 Penulis ix

11 DAFTAR ISI Halaman ABSTRAK... vii KATA PENGANTAR... viii DAFTAR ISI... x DAFTAR TABEL... xiii DAFTAR GAMBAR... xvi DAFTAR LAMPIRAN... xvii BAB I PENDAHULUAN Latar Belakang Masalah Perumusan Masalah Pembatasan Masalah Tujuan Penelitian Manfaat Penelitian... 4 BAB II LANDASAN TEORI Teknologi Informasi Perbedaan Mengatur dan Mengelola Manajemen TI dan Tata Kelola Teknologi Informasi Tata Kelola Perusahaan dan Tata Kelola Teknologi Informasi Pentingnya Tata Kelola Teknologi Informasi Focus Area Tata Kelola Teknologi Informasi Framework COBIT Fokus Pada Bisnis Orientasi Pada Proses...14

12 Berbasis Kontrol Dikendalikan Oleh Pengukuran Model Kematangan Pengukuran Kinerja Model Kerangaka Kerja COBIT Perusahaan Daerah Air Minum Surabaya...23 BAB III METODE PENELITIAN Studi Literatur Definisikan Ruang Lingkup Identifikasi dan Analisa Permasalahan Business Goal Analysis IT Goal Analysis IT Process Analysis Pengolahan Data Analisa Data...41 BAB IV PEMBAHASAN Business Goal Analysis IT Goal Analysis IT Process Analysis Control Objective Maturity Level Rekomendasi Performance Measurement BAB V PENUTUP Kesimpulan

13 5.2 Saran Daftar Pustaka

14 DAFTAR TABEL Halaman Tabel 3.1 Memahami Tujuan Bisnis dan Kontribusi Teknologi Tabel 3.2 Mengidentifikasi Tujuan TI Tabel 3.3 Mengidentifikasi Proses dan Kontrol Yang Bersifat Kritis Tabel 3.4 Tabel Business Goal COBIT Tabel 3.5 Tabel IT Goal COBIT Tabel 3.6 Tabel Plan and Organise Tabel 3.7 Tabel Acquire and Implement Tabel 3.8 Tabel Delivery and Support Tabel 3.9 Tabel Monitoring and Evaluate Tabel 3.10 Tabel RACI Tabel 4.1. Visi dan Misi PDAM Surabaya Tabel 4.2. Hasil pemetaan visi dan misi dengan Business Goal Tabel 4.3. Tabel pemetaan Business Goal dengan IT Goal Tabel 4.4. Tabel pemetaan dari IT Goal dengan IT Process Tabel 4.5. Deskripsi IT Process COBIT Tabel 4.6. IT Process pada PDAM Surabaya Tabel 4.7. Daftar IT Process PDAM Surabaya Tabel 4.8. IT Process Control Objective xiii

15 Tabel 4.9. Tabel Maturity Level PO1 Domain Plan and Organise Tabel Tabel Maturity Level PO2 Domain Plan and Organise Tabel Tabel Maturity Level PO4 Domain Plan and Organise Tabel Tabel Maturity Level PO6 Domain Plan and Organise Tabel Tabel Maturity Level PO7 Domain Plan and Organise Tabel Tabel Maturity Level PO8 Domain Plan and Organise Tabel Tabel Maturity Level PO10 Domain Plan and Organise Tabel Tabel Maturity Level AI1 Domain Acquire and Implement Tabel Tabel Maturity Level AI3 Domain Acquire and Implement Tabel Tabel Maturity Level AI4 Domain Acquire and Implement Tabel Tabel Maturity Level AI6 Domain Acquire and Implement Tabel Tabel Maturity Level AI7 Domain Acquire and Implement Tabel Tabel Maturity Level DS1 Domain Delivery and Support Tabel Tabel Maturity Level DS2 Domain Delivery and Support Tabel Tabel Maturity Level DS3 Domain Delivery and Support Tabel Tabel Maturity Level DS4 Domain Delivery and Support Tabel Tabel Maturity Level DS7 Domain Delivery and Support Tabel Tabel Maturity Level DS8 Domain Delivery and Support Tabel Tabel Maturity Level DS10 Domain Delivery and Support Tabel Tabel Maturity Level DS12 Domain Delivery and Support xiv

16 Tabel Tabel Maturity Level DS13 Domain Delivery and Support Tabel Tabel Maturity Level ME1 Domain Monitoring and Evaluate Tabel Tabel Rangkuman Maturity Level Domain PO Tabel Tabel Rangkuman Maturity Level Domain AI Tabel Tabel Rangkuman Maturity Level Domain DS Tabel Tabel Rangkuman Maturity Level Domain ME Tabel Tabel Rangkuman Maturity Level Semua Domain Tabel Tabel Gap Analysis xv

17 DAFTAR GAMBAR Halaman Gambar 2.1 Manajemen TI & Tata Kelola TI... 8 Gambar 2.2 Focus Area IT Governance Gambar 2.3 Manajemen, Kontrol, Keselarasan dan Monitoring COBIT Gambar 2.4 Kerangka Kerja COBIT Versi Gambar 2.5 Struktur Organisasi PDAM Surya Sembada Kota Surabaya Gambar 3.1 Langkah-langkah Penelitian Gambar 4.1. Perbandingan kesenjangan kondisi tata kelola PO Gambar 4.2. Perbandingan kesenjangan kondisi tata kelola AI Gambar 4.3. Perbandingan kesenjangan kondisi tata kelola DS Gambar 4.4. Perbandingan kesenjangan kondisi tata kelola ME Gambar 4.5. Ilustrasi performance measurement Gambar 4.6. Contoh Kemungkinan Outcome measures Gambar 4.7. Contoh Kemungkinan Performance indicators Gambar 4.8. Goals and Metric xvi

18 DAFTAR LAMPIRAN Halaman Lampiran Lampiran Lampiran Lampiran Lampiran Lampiran Lampiran Lampiran Lampiran xvii

19 BAB I PENDAHULUAN 1.1. Latar Belakang Masalah Perusahaan Daerah Air Minum Surabaya atau PDAM Surabaya merupakan salah satu unit usaha milik daerah yang memiliki peran krusial dalam pemenuhan kebutuhan air bersih masyarakat. Diawasi oleh aparat aparat eksekutif maupun legislatif Pemerintah Kota Surabaya. PDAM Surabaya memiliki visi menyediakan air minum yang cukup bagi pelanggan melalui perusahaan air minum yang mandiri, berwawasan global, dan terbaik di Indonesia. Dalam pencapaian visi tersebut, perusahaan memiliki beberapa misi antara lain memproduksi dan mendistribusikan air minum bagi pelanggan, memberi pelayanan prima bagi pelanggan dan berkelanjutan bagi pemangku kepentingan, serta melakukan usaha lain bagi kemajuan perusahaan dan berpartisipasi aktif dalam kegiatan sosial kemasyarakatan. Dalam rangka pencapaian visi dan misinya, PDAM Surabaya menerapkan Teknologi Informasi (TI). Sebagai enabler bisnis, TI akan memberi nilai bagi perusahaan jika tujuan TI selaras (alignment) dengan tujuan bisnis (Jogiyanto, 2007). Untuk memastikan bahwa TI yang diterapkan benar-benar selaras (aligment) dengan tujuan bisnis perusahaan, maka dari itu perlu dilakukan analisa kesenjangan atau Gap Analysis. Analisa kesenjangan bertujuan untuk mengetahui seberapa besar tingkat kematangan (maturity level) dari penerapan TI pada perusahaan (as-is). Analisa kesenjangan juga berguna sebagai acuan dalam penentuan solusi perbaikan penerapan TI kedepannya (to-be). 1

20 2 Dari Analisa kesenjangan (Gap Analysis) yang telah dilakukan, tingkat kematangan (Maturity Level) dari penerapan TI pada perusahaan berdasarkan metode Balance Scorecard adalah sebesar 3.1. Berdasarkan framework COBIT 4.1, tingkat kematangan bernilai 3.1 (dibulatkan menjadi 3) didefinisikan sebagai Defined. Pada tingkat kematangan ini, dijelaskan bahwa tidak adanya pengawasan untuk menjalankan prosedur, sehingga beresiko terjadinya banyak penyimpangan. Hal tersebut akan berdampak pada setiap proses operasional yang dijalankan tidak sesuai dengan policy yang sudah diatur oleh manajemen tingkat tinggi. Ketika instruksi ataupun kebijakan tidak ter-deliver dengan baik, hal ini tentunya akan menghambat dari proses bisnis perusahaan itu sendiri. Jika hal tersebut sampai terjadi, pertaruhannya adalah reputasi perusahaan yang memburuk dimata para pelanggan, dan lebih buruknya lagi adalah berdampak pada financial perusahaan. Maka dari itu, mengacu pada analisa kesenjangan yang sudah dilakukan, pimpinan PDAM Surabaya berupaya untuk menaikkan tingkat kematangan dari nilai 3 (asis) menuju ke nilai 4 (to-be). Dalam acuan framework COBIT 4.1, tingkat kematangan bernilai 4 (empat) didefinisikan sebagai Managed and Measureable. Berdasarkan tingkat kematangan penerapan TI pada perusahaan diatas, perlu adanya sebuah tata kelola teknologi informasi yang berguna dalam pengelolaan penerapan TI agar menghasilkan keluaran yang maksimal kepada perusahaan. Tidak hanya itu, tata kelola teknologi informasi juga membantu dalam proses pengambilan keputusan, dan membantu dalam proses pemecahan masalah. Prinsip-prinsip dalam tata kelola teknologi informasi harus dijalankan secara terintegrasi, sebagaimana fungsi manajemen dijalankan dalam sebuah perusahaan.

21 3 Seiring dengan bertambah pentingnya peran TI, maka dari itu tata kelola teknologi informasi diharapkan akan mampu untuk memperluas strategis dan tujuan bisnis perusahaan (Surendro, 2009) Perumusan Masalah Berdasarkan penjelasan pada latar belakang, maka perumusan masalah yang di dapat adalah sebagai berikut: 1. Bagaimana cara agar tujuan teknologi informasi selaras (alignment) dengan tujuan bisnis. 2. Bagaimana cara melakukan Gap Analysis antara tingkat kematangan saat ini (as-is) dan tingkat kematangan yang diharapkan (to-be). 3. Apa saja tahapan yang perlu diperhatikan dalam menjalankan proses teknologi informasi sehingga mendukung tujuan teknologi informasi. 4. Bagaimana menyusun rekomendasi tata kelola teknologi informasi pada Perusahaan Daerah Air Minum Surabaya menuju tingkat kematangan yang diharapkan Pembatasan Masalah Berdasarkan perumusan masalah tersebut batasan masalah dalam pengerjaan tugas akhir ini adalah sebagai berikut: 1. Tidak membahas mengenai merencanakan implementasi solusi dan operasionalisasi solusi. 2. Tidak mengukur sebarapa besar tingkat Management Awareness. 3. Sesuai kesepakatan dengan pimpinan Perusahaan Daerah Air Minum, Perspektif COBIT 4.1 yang sudah dipetakan dengan visi dan misi perusahaan

22 4 yaitu Perspektif Pelanggan. Adapun Tujuan Bisnis COBIT yang dipilih adalah sebagai berikut: a. Meningkatkan orientasi pelanggan dan layanan. b. Membangun kontuinitas dan ketersediaan layanan. c. Membuat kecerdasan dalam menanggapi perubahan Tujuan Penelitian Dengan melihat perumusan masalah yang ada, maka tujuan yang ingin dicapai dalam penelitian ini adalah dokumen tata kelola teknologi informasi yang meliputi: 1. Keselarasan (alignment) antara tujuan teknologi informasi dengan tujuan bisnis. 2. Gap Analysis antara tingkat kematangan saat ini (as-is) dan tingkat kematangan yang diharapkan (to-be). 3. Tahapan yang perlu diperhatikan dalam menjalankan proses teknologi informasi sehingga mendukung tujuan teknologi informasi. 4. Rekomendasi tata kelola teknologi informasi pada Perusahaan Daerah Air Minum Surabaya menuju tingkat kematangan yang diharapkan Manfaat Penelitian Dengan dilakukannya penelitian ini, maka diharapkan memiliki beberapa nilai manfaat penulisan bagi Perusahaan Daerah Air Minum Surabaya, antara lain: 1. Untuk mengetahui sejauh mana tingkat kematangan tata kelola teknologi informasi diterapkan.

23 5 2. Untuk mengetahui bagaimana tahapan-tahapan meningkatkan tingkat kematangan saat ini untuk menuju tingkat kematangan yang diharapkan. 3. Memberikan kontribusi untuk meningkatkan penggunaan Teknologi Informasi berdasarkan Framework COBIT Memperoleh acuan untuk penanganan masalah dan penentuan solusi pada penggunaan Teknologi Informasi yang terjadi di Perusahaan Daerah Air Minum Surabaya. 5. Hasil analisa dan penelitian yang dilakukan dapat menjadi bahan masukan bagi pihak perusahaan untuk menentukan kebijakan perusahaan di masa yang akan datang khususnya di bidang Teknologi Informasi.

24 BAB II LANDASAN TEORI 2.1. Teknologi Informasi Defini tata kelola teknologi infomasi telah dikemukakan oleh para ahli, diantaranya adalah sebagai berikut: 1. Kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dan mengarahkan kepada kepentingan pencapaian daya saing korporasi (The Ministry of International Trade & Industry, 1999). 2. Tata kelola teknologi informasi merupakan tanggung jawab dewan direksi dan manajemen ekesekutif. Hal tersebut merupakan bagian yang tidak dapat terpisahkan dari tata kelola perusahaan dan terdiri dari struktur kepemimpinan dan organisasi serta proses yang memberikan kepastian bahwa organisasi teknologi informasi dapat menopang dan memperluas strategis dan tujuan bisnis organisasi (ITGI, 2007). 3. Tata kelola teknologi informasi adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen teknologi informasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dalam rangka mendukung bisnisnya (Van Grembergen, 2002). 4. Tata kelola teknologi informasi adalah upaya menjamin pengelolaan teknologi informasi agar mendukung bahkan selaras dengan strategi bisnis suatu enterprise yang dilakukan oleh dewan direksi, manajemen eksekutif, dan juga oleh manajemen teknologi informasi (Surendro, 2009). 6

25 7 Dari beberapa pendapat ahli diatas, penulis mengambil kesimpulan tata kelola teknologi informasi dari penjabaran menurut Surendro tahun Perbedaan Mengatur dan Mengelola Peningkatan efektivitas dan efisiensi organisasi bisnis ataupun organisasi pemerintah dapat dilakukan melalui upaya penataan organisasi yang baik. Upaya tersebut dilakukan tidak hanya melalui proses pengaturan (manage) tetapi lebih luas pada penatakelolaan seluruh proses bisnis (governance). Untuk dapat berhasil, TI tidak cukup hanya diatur (manage) oleh departemen TI saja, tetapi harus ditata kelola (govern) di tingkat korporasi. Seringkali keduanya dianggap sama, walaupun sebenarnya keduanya berbeda (Jogiyanto, 2007). Ada perbedaan mendasar antara mengatur (manage) dengan menata kelola (govern). Makna mengatur lebih sempit dibanding menata kelola (govern) karena mengatur (manage) merupakan bagian dari menata kelola (govern). Mengatur (manage) TI oleh departmen TI merupakan bagian dari menata kelola (govern) TI oleh korporasi. Mengatur TI hanya menunjuk pada serangkaian mekanisme di departemen TI untuk menghasilkan suatu keputusan spesifik TI, sedangkan menata kelola lebih luas lagi, yaitu serangkaian sistem dan mekanisme yang menentukan pihak-pihak, baik di departemen TI maupun diluar departemen TI, yang membuat dan berkontribusi dalam pembuatan keputusan TI (Weill & Ross, 2004) Manajemen TI dan Tata Kelola Teknologi Informasi Masih sulit bagi kita untuk membedakan antara manajemen teknologi informasi dengan tata kelola teknologi informasi, untuk memahaminya dapat diperhatikan pada gambar 2.1 dibawah ini:

26 8 Gambar 2.1 Manajemen TI & Tata Kelola TI Manajemen teknologi informasi berfokus pada upaya pencapaian efektivitas internal atas dukungan layanan dan produk teknologi informasi serta pengelolaan dari operasional teknologi informasi yang ada saat ini. Sedangkan tata kelola teknologi informasi memiliki cakupan yang lebih luas, dan berkonsentrasi pada kinerja dan transformasi teknologi informasi untuk memenuhi kebutuhan bisnis saat ini dan saat yang akan datang, baik dari sudut internal bisnis maupun eksternal (Surendro, 2009) Tata Kelola Perusahaan dan Tata Kelola Teknologi Informasi Tata kelola teknologi informasi merupakan tanggung jawab dari dewan direksi dan manajemen eksekutif, maka dari itu tata kelola teknologi informasi sangat erat hubungannya dengan tata kelola perusahaan. Tata kelola perusahaan berfungsi untuk mengarahkan dan mengendalikan entitas yang ada pada sebuah perusahaan. Disinilah peran tata kelola teknologi informasi yang dijadikan sebagai

27 9 salah satu dasar pertimbangan dalam menentukan solusi ketika proses penyelesaian masalah yang terjadi. Maka dari itu, tata kelola teknologi informasi bermanfaat dalam hal pengambilan keputusan atas strategi-strategi perusahaan yang kritis. Dengan tata kelola teknologi informasi, perusahaan akan dapat dengan mudah mengambil keuntungan maksimal atas informasi, dan juga merupakan penggerak dari tata kelola perusahaan itu sendiri (Surendro, 2009) Pentingnya Tata Kelola Teknologi Informasi Teknologi informasi merupakan salah satu faktor yang begitu penting untuk menentukan keberhasilan sebuah perusahaan dalam mendapatkan keunggulan yang kompetitif, meningkatkan kinerja dan produktifitas, serta memberikan value yang lebih pada masa mendatang. Dalam penerapannya, teknologi informasi memungkinan untuk menimbulkan berbagai macam resiko. Penurunan performa sistem dan jaringan seringkali begitu sulit ditangani oleh perusahaan. Di beberapa industri dan perusahaan, teknologi informasi merupakan nilai tambah untuk memenuhi sumber daya yang lebih kompetitif, menjadi faktor pembeda dari pesaing, dan memberikan keunggulan yang kompetitif. Tidak hanya itu, teknologi informasi seringkali juga dimanfaatkan untuk mempertahankan kelangsungan hidup perusahaan (Rahmadhanty, 2010) Focus Area Tata Kelola Teknologi Informasi Pada Framework COBIT 4.1, terdapat Focus Area yang dibagi menjadi 5 bagian yaitu Strategic alignment, Value delivery, Resource management, Risk management, dan Performance measurement. Adapun penjelasan dari Focus Area

28 10 Framework COBIT 4.1 dapat dilihat pada gambar 2.2 serta Lampiran 5 dan Lampiran 6. Gambar 2.2 Focus Area IT Governance 1. Strategic Alignment berfokus pada memastikan keterkaitan bisnis dengan perencanaan teknologi informasi, memelihara serta melakukan validasi usulan nila-nilai teknologi informasi, dan menyelaraskan tujuan bisnis dengan tujuan TI. 2. Value Delivery mengeksekusi proposisi nilai-nilai dari siklus pengiriman secara keseluruhan, memastikan bahwa TI memberikan manfaat yang sesuai dengan apa yang telah ditentukan dalam strategi, berfokus pada pengoptimalan biaya, serta membuktikan nilai intrinsik dari TI. 3. Resource Management berkaitan dengan investasi yang optimal dalam pengelolaan sumber daya teknologi informasi antara lain aplikasi, informasi, infrastruktur dan SDM. Berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.

29 11 4. Risk Management berkaitan dengan kesadaran para pejabat senior akan resiko-resiko yang akan ditimbulkan pada perusahaan. Bagaimana memahami syarat-syarat kepatuhan, keterbukaan tentang resiko yang berdampak signifikan terhadap perusahaan, dan menanamkan akan pentingnya manajemen resiko dalam organisasi. 5. Performance Measurement berisi pengukuran kinerja dan pemantauan dari implementasi strategi, penyelesaian proyek, penggunaan resources, kinerja proses dan pelayanan, misalnya penggunaan BSC yang menerjemahkan strategi kedalam tindakan untuk mencapai tujuan yang terukur. Untuk lebih jelasnya mengenai Focus Area IT Governance, dapat dilihat pada lampiran 5 dan lampiran Framework COBIT 4.1 COBIT (Control Objective for Information and Related Technology) merupakan kerangka kerja TI yang dipublikasikan oleh ISACA (Information System Audit and Control Association). COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk pengelolaan TI. COBIT memiliki 4 domain utama, yaitu: Plan and Organise, Acquire and Implement, Delivery and Support, dan Monitoring and Evaluate. Dari semua domain utama tersebut terinci menjadi 34 Control Objective. COBIT dirancang untuk mengatasi permasalahan pada IT Governance dalam memahami dan mengelola resiko serta keuntungan yang berhubungan dengan sumber daya informasi sebuah organisasi (Surendro, 2009).

30 Fokus Pada Bisnis Orientasi pada bisnis menunjukan bahwa COBIT dirancang untuk dapat digunakan oleh banyak pihak. Hal ini tidak terbatas hanya untuk kalangan teknologi informasi, pengguna maupun auditor, tetapi lebih penting lagi adalah sebagai panduan komprehensif bagi manajemen dan pemilik bisnis proses. Kebutuhan bisnis tercermin dengan adanya kebutuhan informasi. Informasi itu sendiri perlu memenuhi kriteria kontrol tertentu (Information Criteria), guna mencapai tujuan bisnis. Kriteria kontrol untuk informasi (Information Criteria) sebagaimana yang dikemukakan oleh COBIT adalah sebagai berikut: 1. Efektifitas, terkait dengan informasi yang relevan dan berhubungan pada proses bisnis dan disampaikan juga secara tepat waktu, benar, konsisten, dan mudah. 2. Efisiensi, terkait dengan ketentuan informasi melalui penggunaan sumber daya secara optimal. 3. Kerahasiaan, terkait pengamanan terhadap informasi yang sensitif dari pihak yang tidak berhak. 4. Integritas, terkait dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan nilai dan harapan bisnis. 5. Ketersediaan, terkait dengan ketersediaan informasi pada saat kapanpun diperlukan oleh proses bisnis. 6. Kepatuhan, terkait dengan kepatuhannya pada hokum, regulasi, maupun perjanjian kontrak.

31 13 7. Keandalan, terkait dengan penyediaan informasi yang tepat bagi manajemen yang mendukung operasional suatu entitas dan menjalankan tanggung jawab dan tata kelolanya. Antara tujuan bisnis dan tujuan teknologi informasi yang generik dan kriteria informasi terdapat hubungan, yang disajikan dalam bentuk matrik. Hubungan ini menunjukan bahwa setiap tujuan bisnis, yang dikelompokan kedalam empat kategori perspektif Balance Scorecard, berkaitan dengan beberapa tujuan teknologi informasi dan kriteria informasi, demikian juga sebaliknya. Hubungan dalam bentuk matrik tersebut dapat membantu dalam penetuan kebutuhan bisnis, tujuan, dan ukuran bagi perusahaan. Pencapaian kebutuhan bisnis, yang tercermin dengan adanya pemenuhan kebutuhan informasi, membutuhkan dukungan sumber daya teknologi informasi. Sumber daya teknologi informasi dalam COBIT, diidentifikasi dan didefinisikan sebagai berikut: 1. Aplikasi, adalah sistem yang digunakan oleh para pemakai yang sudah diotomasikan dan prosedur manual yang digunakan untuk memproses informasi. 2. Informasi, adalah data dalam segala bentuknya, dimasukkan, diproses, dan dikeluarkan oleh sistem informasi, dalam bentuk apapun yang digunakan oleh bisnis. 3. Infrastruktur, adalah teknologi dan fasilitas (hardware, software, operating system, Database Management System, jaringan, fasilitas yang memungkinkan pemrosesan aplikasi, dan lain-lain).

32 14 Manusia, adalah personil yang diperlukan untuk merencanakan, mengorganisir, mendapatkan, menerapkan, menyampaikan, mendukung, memonitor, dan mengevaluasi informasi. Mereka bisa saja internal, direkrut dari luar (Outsourcing), atau dikontrak ketika diperlukan Orientasi Pada Proses Aktivitas teknologi informasi dikelompokkan dalam empat domain, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME). Secara jelas, COBIT membagi proses pengelolaan teknologi informasi menjadi empat domain utama dengan total tiga puluh empat proses teknologi informasi. Masing-masing domain dalam COBIT mempunyai beberapa rincian sebagai berikut: 1. Plan and Oganise (PO). Dalam perencanaan dan organisasi perusahaan ini sudah mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Tetapi disini, startegis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Disini sebuah pengorganisasian serta infrastruktur teknologi sudah ditempatkan di tempat yang semestinya. 2. Acquire and Implement (AI). Solusi IT sudah diidentifikasi dan dikembangkan serta diimplementasikan, namun belum diimplementasikan dan terintegrasi ke dalam proses bisnis, tetapi sudah ada perubahan serta pemeliharaan system yang mencakup di dalam domain ini. Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu

33 15 diidentifikasikan, dikembangkan, diimplementasikan dan diintegrasikan kedalam proses bisnis. 3. Deliver and Support (DS). Domain ini berfokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/ masalah keamanan dan juga pelatihan. 4. Monitor and Evaluate (ME). Menyelenggarakan audit TI yang dilakukan oleh pihak Independent untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan pengelolaan TI dalam mendukung pencapaian tujuan organisasi. Pada domain ini akan ditekankan kepada pentingnya semua proses teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan Berbasis Kontrol Kontrol atau kendali dalam COBIT didefinisikan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang dapat diterima bahwa tujuan bisnis akan dicapai dan kejadian yang tidak diharapkan dapat dicegah atau diketahui dan diperbaiki. Sedangkan tujuan kontrol teknologi informasi merupakan pernyataan mengenai maksud atau hasil yang diharapkan dengan menerapkan prosedur kontrol aktivitas teknologi informasi tertentu. Tujuan kontrol pada COBIT merupakan kebutuhan minimal untuk kontrol yang efektif dari setiap proses teknologi informasi.

34 16 Agar dapat mencapai tata kelola teknologi informasi yang efektif, kontrol perlu diimplementasikan untuk semua proses teknologi informasi. Kerangka kerja kontrol dalam COBIT, memberikan kaitan yang jelas diantara kebutuhan tata kelola teknologi informasi, proses teknologi informasi dan kontrol teknologi informasi, karena tujuan kendali diorganisasikan menurut proses teknologi informasi. Setiap proses teknologi informasi yang terdapat dalam COBIT mempunyai tujuan kendali tingkat tinggi dan sejumlah kendali detail. Secara keseluruhan ini merupakan karakteristik proses yang dikelola secara baik Dikendalikan Oleh Pengukuran Pemahaman terhadap status sistem teknologi informasi, diperlukan bagi organisasi, agar dapat memutuskan tingkat manajemen dan kontrol yang harus diberikan. Dengan demikian organisasi perlu mengetahui apa yang harus diukur dan bagaimana pengukuran tersebut dilakukan, sehingga dapat diperoleh status tingkat kinerjanya. Selanjutnya pegetahuan ini akan membantu upaya peningkatan yang perlu dilakukan. Berkenaan akan hal tersebut COBIT memberikan: 1. Model kematangan atau lebih dikenal dengan istilah Maturity Level, yang memungkinkan pembandingan atau benchmarking dan identifikasi peningkatan kapabilitas yang perlu. 2. Tujuan dan ukuran kinerja untuk proses teknologi informasi, menunjukan bagaimana proses memenuhi tujuan bisnis dan tujuan teknologi informasi dan dipakai untuk pengukuran kinerja proses internal didasarkan pada prinsip Balance Scorecard. 3. Tujuan aktivitas untuk meningkatkan kinerja proses yang efektif.

35 Model Kematangan Model kematangan untuk pengelolaan dan kontrol pada proses teknologi informasi didasarkan pada metode evaluasi organisasi, sehingga dapat mengevaluasi sendiri dari level Tidak Ada (0) hingga level Optimis (5). Pendekatan ini diperoleh dari model kematangan dari Software Engineering Institute yang mengidentifikasinya untuk kapabilitas pengembangan perangkat lunak. Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Model kematangan dirancang sebagai profil proses teknologi informasi, sehingga organisasi akan dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan mendatang. Penggunaan model kematangan yang dikembangkan untuk setiap 34 proses teknologi informasi, memungkinkan manajemen dapat mengidentifikasi: 1. Kinerja sesungguhnya perusahaan, dimana kondisi perusahaan sekarang 2. Kondisi sekarang dari industri sebagai perbandingan 3. Target peningkatan perusahaan, dimana kondisi yang diinginkan perusahaan. Beberapa hal berikut memberikan gambaran singkat terkait dengan model kematangan dalam COBIT, sebagai berikut: 1. Menunjukan tingkat seberapa baik aktivitas untuk mengelola proses teknologi informasi tersebut dilakukan. 2. Terdiri dari 6 level yang berisi beberapa pernyataan. 3. Pernyataan menguraikan kondisi yang harus dipenuhi untuk mencapai level tersebut.

36 18 4. Pernyataan tersebut berisi referensi kepada aktivitas yang ada dalam diagram Responsible, Accountable, Consulted, dan Informed (RACI). 5. Dari pernyataan tersebut dibuat pertanyaan-pertanyaan kepada pihak yang berkaitan, dengan mereferensi pada diagram RACI. 6. Dilakukan penilaian yang menghasilkan tingkat kematangan. Pendefinisian model kematangan suatu proses teknologi informasi mengacu pada kerangka kerja COBIT secara umum adalah sebagai berikut: 1. Level 0: Tidak ada Kondisi dimana perusahaan sama sekali tidak peduli terhadap pentingnya teknologi informasi untuk dikelola secara baik oleh manajemen. 2. Level 1: Awal atau Ad Hoc Kondisi dimana perusahaan secara reaktif melakukan penerapan dan implementasi teknologi informasi sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa didahului dengan perencanaan sebelumnya. 3. Level 2: Berulang tapi intuitif Kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaanya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidakkonsistenan. Sudah mulai ada prosedur namun tidak seluruhnya terdokumentasi dan tidak seluruhnya disosialisasikan kepada pelaksana. Belum ada pelatihan formal untuk mensosialisasikan prosedur tersebut.

37 19 Tanggung jawab pelaksanaan berada pada masing-masing individu. 4. Level 3: Proses terdefinisi Kondisi dimana perusahaan telah memiliki prosedur standar formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. Tidak ada pengawasan untuk menjalankan prosedur, sehingga memungkinkan terjadinya banyak penyimpanan. 5. Level 4: Terkelola dan terukur Kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif kinerja terhadap kinerja proses teknologi informasi. Terdapat fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan, yang dapat mengambil tindakan, jika terdapat proses yang diindikasikan tidak efektif. Proses diperbaiki terus menerus dan dibandingkan dengan praktikpraktik terbaik. Terdapat perangkat baru dan otomatisasi untuk pengawasan proses. 6. Level 5: Optimis Kondisi dimana perusahaan telah dianggap telah mengimplementasikan tata kelola manajemen teknologi informasi yang mengacu pada praktik terbaik. Proses telah mencapai level terbaik karena perbaikan yang terus menerus dan perbandingan dengan perusahaan lain.

38 20 Perangkat bantu otomatis digunakan untuk mendukung workflow, menambah efisiensi dan kualitas kinerja proses. Memudahkan perusahaan untuk beradaptasi terhadap perubahan. Dalam melakukan pengukuran kematangan pada suatu proses, terlebih dulu perlu kejelasan tentang tujuan pengukuran itu sendiri. Dalam hal ini perlu dipahami secara jelas apa yang perlu diukur dan apa yang dilakukan pada saat melakukan pengukuran, hal ini karena pengukuran kematangan bukan merupakan tujuan tetapi sebatas pendukung. Beberapa tujuan pengukuran kematangan adalah untuk: 1. Menumbuhkan kepedulian (Awareness). 2. Melakukan identifikasi kelemahan (Weakness). 3. Melakukan identifikasi kebutuhan perbaikan (Improvement) Pengukuran Kinerja Tujuan dan ukuran didefinisikan dalam COBIT pada tiga tingkat, antara lain: 1. Tujuan dan ukuran teknologi informasi, yang mendefinisikan apa yang diharapkan bisnis dari teknologi informasi. 2. Tujuan dan proses, yang mendefinisikan proses apa yang harus diberikan untuk mendukung tujuan teknologi informasi. 3. Ukuran kinerja proses, untuk mengukur seberapa baik proses dilakukan untuk menunjukan jika tujuan kemungkinan besar terpenuhi. COBIT menggunakan 2 jenis ukuran yaitu indikator tujuan dan indikator kinerja. Indikator tujuan pada tingkat yang lebih rendah menjadi indikator kinerja

39 21 pada tingkat yang lebih tinggi. Indikator Tujuan Utama atau Key Goal Indicator (KGI) mendefinisikan pengukuran yang mengonfirmasikan kepada manajemen, apakah suatu proses teknologi informasi telah mencapai kebutuhan bisnisnya, biasanya dinyatakan berkaitan dengan kriteria informasi sebagai berikut: 1. Ketersediaan informasi yang diperlukan untuk mendukung kebutuhan bisnis. 2. Ketiadaan integritas dan resiko kerahasiaan. 3. Efisiensi biaya proses dan operasi. 4. Konfirmasi keandalan, efektivitas dan kepatuhan. Indikator Kinerja Utama atau Key Performance Indicator (KPI) mendefinisikan pengukuran yang menentukan seberapa baik proses teknologi informasi dilakukan. Hal ini, mengindikasikan kemungkinan pencapaian tujuannya. KPI disamping merupakan indikator petunjuk, apakah tujuannya sepertinya akan dicapai atau tidak, juga merupakan indikator kapabilitas, praktik dan keterampilan yang baik. KPI mengukur tujuan aktivitas yang merupakan tindakan yang harus diambil pemilik proses untuk mencapai proses yang efektif Model Kerangaka Kerja COBIT Kerangka kerja COBIT, mengikat kebutuhan bisnis untuk informasi dan tata kelola, pada tujuan fungsi layanan teknologi informasi. Model proses COBIT memungkinkan aktivitas teknologi informasi dan sumber daya yang mendukungnya dikelola dan dikontrol dengan tepat berdasarkan tujuan kendali COBIT, serta diselaraskan dan dimonitor menggunakan ukuran KGI dan KPI, sebagaimana terlihat pada gambar 2.3.

40 22 Information Criteria Sumber daya TI Proses TI Proses TI Gambar 2.3 Manajemen, Kontrol, Keselarasan dan Monitoring Menurut COBIT Secara lebih terinci keseluruhan kerangka kerja COBIT ditunjukan sebagaimana gambar 2.4 dengan model proses COBIT versi 4.0 yang terdiri dari 4 domain dan meliputi 34 proses generik, yang mengelola sumber daya teknologi informasi untuk memberikan informasi pada bisnis sesuai dengan kebutuhan bisnis dan tata kelola.

41 23 Gambar 2.4 Kerangka Kerja COBIT Versi 2.8. Perusahaan Daerah Air Minum Surabaya Gambaran umum mengenai Perusahaan Daerah Air Minum (PDAM) Kota Surabaya dijelaskan sebagai berikut Latar Belakang PDAM Surabaya PDAM atau Perusahaan Daerah Air Minum merupakan salah satu perusahaan terbesar milik daerah, yang bergerak dalam distribusi air bersih dalam masyarakat umum. PDAM terdapat disetiap provinsi, kabupaten dan kotamadya di

42 24 seluruh Indonesia. PDAM merupakan perusahaan daerah sebagai sarana air bersih yang di awasi oleh aparat aparat eksekutif maupun legislatif daerah Dasar Hukum Berdirinya PDAM Kota Surabaya merupakan peninggalan jaman Belanda, dimana pembentukannya sebagai BUMD berdasarkan : 1. Peraturan Daerah No. 7 tahun 1976 tanggal 30 Maret Disahkan dengan Surat Keputusan Gubernur Kepala Daerah Tingkat I Jawa Timur, Tanggal 06 Nopember 1976 No. II/155/76 3. Diundangkan dalam Lembaran Daerah Kotamadya Daerah Tingkat II Surabaya tahun 1976 seri C pada tanggal 23 Nopember 1976 No. 4/C Visi Misi PDAM Surabaya Visi Tersedianya air minum yang cukup bagi pelanggan melalui perusahaan air minum yang mandiri, berwawasan global, dan terbaik di Indonesia. Misi 1. Memproduksi dan mendistribusikan air minum bagi pelanggan. 2. Memberi pelayanan prima bagi pelanggan dan berkelanjutan bagi pemangku kepentingan. 3. Melakukan usaha lain bagi kemajuan perusahaan dan berpartisipasi aktif dalam kegiatan sosial kemasyarakatan.

43 Struktur Organisasi PDAM Surabaya pada gambar 2.5. Struktur organisasi pada PDAM Surya Sembada Kota Surabaya terdapat

44 Gambar 2.5 Struktur Organisasi PDAM Surya Sembada Kota Surabaya 26

45 BAB III METODE PENELITIAN Penelitian ini merupakan penelitian deskriptif, yang berarti hasil yang disajikan dalam bentuk deskripsi. Studi kasus dari penelitian ini berlokasi di kantor PDAM Surabaya. Penelitian ini mengukur kematangan dari pengelolaan teknologi informasi yang diterapkan pada perusahaan dalam rangka mencapai tujuan bisnis perusahaan yang didasarkan pada Framework COBIT 4.1. Langkah-langkah penelitian diharapkan mampu menggali seluruh informasi yang terkait dengan permasalahan yang akan diteliti yang menjadi tujuan penelitian. Langkah-langkah penelitian ini menjadi dasar bagi arah penelitian yang akan dilakukan serta menjadi awal pemikiran bagi setiap peneliti sehingga penelitian yang dilakukan dapat dijadikan acuan kembali dikemudian hari. Adapun langkah-langkah yang dilakukan dalam penelitian ini dapat dilihat pada gambar Studi Literatur Studi literatur dilakukan dengan mengumpulkan beberapa teori, metode ataupun model pada bidang manajemen sistem informasi dan teknologi informasi pada umumnya, dan juga tata kelola teknologi informasi pada khususnya. Teoriteori yang terkait dengan permasalahan penelitian COBIT 4.1 atau penelitian yang menggabungkan beberapa model evaluasi berusaha digali oleh penulis dan dirangkumkan secara singkat sesuai dengan kebutuhan dalam penelitian ini. Studi literatur dilakukan dengan membaca, merangkum, kemudian menuliskannya kembali dengan metode yang sudah ditentukan. Teori diperoleh dari website resmi ISACA, jurnal dan melaui publikasi-pulikasi journal nasional dan internasional. 27

46 28 Gambar 3.1 Langkah-langkah Penelitian Kemudian melakukan peninjauan terhadap sejarah PDAM Surabaya sebagai obyek yang akan diteliti. Peninjauan dilakukan melalui penggalian dokumen-dokumen fisik, serta wawancara dengan direktur operasinal, sekretaris

47 29 korporat, dan TI Manager yang sudah memiliki sejarah cukup panjang menjadi bagian dalam perusahan. Dari proses ini diharapkan dapat diketahui potensi perusahaan terutama dalam hal pengelolaan teknologi informasinya, sehingga dapat diketahui kesenjangan yang terjadi antara harapan dengan kondisi sebenarnya saat ini, untuk kemudian dicarikan solusinya Definisikan Ruang Lingkup Pada langkah ini terdapat tiga proses yaitu: 1. Memahami tujuan bisnis dan kontribusi teknologi informasi. 2. Mendefinisikan tujuan teknologi informasi. 3. Mengidentifikasi proses dan kontrol yang bersifat kritis Memahami Tujuan Bisnis dan Kontribusi Teknologi Tabel 3.1 Memahami Tujuan Bisnis dan Kontribusi Teknologi COBIT Deliverable Input Penjelasan Tools Langkahlangkah Output Analisis Kematangan Saat Ini Menentukan maturitas kapabilitas saat ini atas proses-proses yang telah ditentukan. Visi dan Misi PDAM Surabaya Pendorong bisnis dan tata kelola serta penilaian resiko telah digunakan untuk memfokuskan pada proses-proses yang bersifat kritis untuk memastikan bahwa tujuan teknologi informasi terpenuhi. Perlu untuk menetapkan seberapa baik proses-proses tersebut dikelola dan dijalankan, berdasarkan deskripsi proses, kebijakan, standar, prosedur, spesifikasi teknis, dll, untuk menentukan apakah proses-proses tersebut cenderung mendukung persyaratan bisnis dan teknologi informasi. Templates (capabillity worksheet, capabillity maturity scorecard), maturity measurement folder, teknik pelaporan, maturity assesment tool 1. Melakukan review berdasarkan input 2. Melakukan mapping input terhadap tujuan bisnis COBIT Tujuan bisnis untuk teknologi informasi

48 Mendefinisikan Tujuan TI Tabel 3.2 Mengidentifikasi Tujuan TI COBIT Deliverable Input Penjelasan Tools Output Analisis Kematangan Yang Diharapkan Menentukan maturitas kapabilitas yang ditargetkan untuk tiap proses yang telah dipilih. Output dari tahap yaitu tujuan bisnis untuk teknologi informasi Berdasarkan tingkat maturitas proses saat ini yang telah dinilai, dan menggunakan hasil analisis business-goals-to-it dan identifikasi kepentingan proses yang telah dilaksanakan sebelumnya, tingkat maturitas yang sesuai harus ditentukan untuk tiap proses. Tingkat yang dipilih harus memperhitungkan benchmark eksternal dan internal yang tersedia. Templates (capabillity worksheet, capabillity maturity scorecard), maturity measurement folder, teknik pelaporan 1. Melakukan review berdasarkan input 2. Melakukan mapping input terhadap tujuan teknologi informasi COBIT Tujuan teknologi informasi yang terpilih Mengidentifikasi Proses dan Kontrol yang Bersifat Kritis Tabel 3.3 Mengidentifikasi Proses dan Kontrol Yang Bersifat Kritis COBIT Deliverable Input Penjelasan Tools Langkahlangkah Langkahlangkah Output Analisis Kematangan Yang Diharapkan Menentukan maturitas kapabilitas yang ditargetkan untuk tiap proses yang telah dipilih. Output dari tahap yaitu tujuan teknologi informasi yang terpilih Berdasarkan tingkat maturitas proses saat ini yang telah dinilai, dan menggunakan hasil analisis business-goals-to-it dan identifikasi kepentingan proses yang telah dilaksanakan sebelumnya, tingkat maturitas yang sesuai harus ditentukan untuk tiap proses. Tingkat yang dipilih harus memperhitungkan benchmark eksternal dan internal yang tersedia. Templates (capabillity worksheet, capabillity maturity scorecard), maturity measurement folder, teknik pelaporan 1. Melakukan review berdasarkan input 2. Melakukan mapping input terhadap IT Process COBIT IT Process beserta sasaran kontrol yang terpilih

49 Identifikasi dan Analisa Permasalahan Untuk melakukan identifikasi dan analisa permasalahan, diperlukan beberapa tahapan sebagai berikut: 3.4. Business Goal Analysis COBIT mendefinisikan Business Goal atau tujuan bisnis terkait dengan aktivitas teknologi informasi yang umumnya ada di PDAM Surabaya. Pada Framework COBIT 4.1 menjelaskan tujuan bisnis yang berkaitan dengan proses teknologi informasi. Demi memudahkan proses kontrol, COBIT mengelompokkan tujuan bisnis tersebut ke dalam perspektif kinerja Balanced Scorecard. PDAM Surabaya mungkin tidak memiliki semua tujuan bisnis yang terdapat pada Framework COBIT 4.1 tersebut. Dalam penyusunan Business Goal, PDAM Surabaya dapat memilih yang sesuai dengan karakteristik organisasinya masing-masing. Pemilihan Business Goal dapat dilakukan dengan mendefinisikan proses bisnis utama maupun bisnis pendukung terlebih dahulu seperti visi dan misi PDAM Surabaya misalnya. Adapun tujuan bisnis COBIT 4.1 dapat dilihat pada tabel 3.4. Tabel 3.4 Tabel Business Goal COBIT Perspektif Business Goal COBIT IT Goal Perspektif Keuangan 11 Memberikan pengembalian investasi TI yang diaktifkan oleh investasi bisnis 22 Mengelola TI terkait resiko bisnis 24 2, 14, 17, 18, 19,

50 32 20, 21, 22 Perspektif Business Goal COBIT IT Goal Perspektif Keuangan Perspektif Pelanggan Perspektif Proses Bisnis / Internal 33 Meningkatkan tata kelola perusahaan dan transparasi 44 Meningkatkan orientasi pelanggan dan layanan 55 Menawarkan produk dan layanan yang kompetitif 66 Membangun kontuinitas dan ketersediaan layanan 77 Membuat kecerdasan dalam menanggapi perubahan 88 Memperoleh optimalisasi biaya dalam pengiriman layanan 99 Memperoleh informasi yang terpercaya dan bermanfaat untuk pengambilan keputusan strategis 110 Meningkatkan dan mempertahankan fungsi proses bisnis 2, 18 3, 23 5, 24 10, 16, 22, 23 1, 5, 25 7, 8, 10, 24 2, 4, 12, 20, 26 6, 7, Biaya proses yang lebih rendah 7, 8, 13, 15, Menyediakan kepatuhan terhadap hukum eksternal, peraturan, dan kontrak 113 Menyediakan kepatuhan terhadap kebijakan internal 2, 19, 20, 21, 22, 26, 27 2, 13

51 Mengelola perubahan bisnis 1, 5, 6, 11, Memperoleh dan mempertahankan keterampilan dan motivasi SDM 7, 8, 11, 13 Perspektif Business Goal COBIT IT Goal Perspektif Pembelajaran dan Pertumbuhan 116 Mengelola inovasi produk dan bisnis 117 Memperoleh dan mempertahankan keterampilan dan motivasi SDM 5, 25, IT Goal Analysis Untuk mengetahui keterkaitan antara Business Goal dengan IT Goal, maka perlu dipahami terlebih dahulu keseluruhan IT Goal yang telah didefinisikan dan diklasifikasikan pada kerangka kerja COBIT seperti yang terlihat pada tabel 3.5. Pemetaan IT Goal tersebut dapat dijadikan acuan bagi PDAM Surabaya dalam menerjemahkan kebutuhan bisnis akan ketersediaan teknologi informasi. Perlu diketahui bahwa IT Goal yang dipaparkan hanya merupakan tujuan yang terkait atau yang dapat membangkitkan bisnis. Tabel 3.5 Tabel IT Goal COBIT IT Goal 1 Menanggapi kebutuhan bisnis sejalan dengan strategis bisnis 2 Menanggapi kebutuhan tata kelola sejalan dengan arahan dewan 3 Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan

52 34 4 Mengoptimalkan pengguna informasi 5 Membuat kecerdasan (agility)ti 6 Mendefinisikan bagaimana kebutuhan fungsi dan kontrol bisnis dijabarkan kedalam solusi otomasi yang efektif dan efisien IT Goal 7 Memperoleh dan memelihara sistem aplikasi yang terintegrasi dan berstandarisasi 8 Memperoleh dan memelihara infrastruktur TI yang terintegrasi dan berstandarisasi 9 Memperoleh dan memelihara kemampuan TI yang merespon strategi TI 10 Menjamin kepuasan timbal balik hubungan pihak ketiga 11 Memastikan kelancaran integrasi aplikasi kedalam proses bisnis 12 Menjamin transparasi dan pemahaman biaya TI, manfaat, strategi, kebijakan, dan tingkat layanan 13 Menjamin pengguna yang tepat dan kinerja aplikasi dan solusi teknologi 14 Memperhitungkan dan melindungi semua aset TI 15 Mengoptimalkan infrastruktur, sumber daya, dan kemampuan TI 16 Mengurangi solusi dan pengiriman layanan yang cacat dan berulang-ulang 17 Melindungi pencapaian sasaran TI 18 Membangun kejelasan dari dampak resiko bisnis untuk sumber daya dan sasaran TI 19 Memastikan bahwa informasi yang penting dan rahasia disembunyikan dari pihak yang tidak memiliki kepentingan 20 Memastikan bahwa pertukaran informasi dan transaksi otomasi bisnis dapat dipercaya

53 35 21 Memastikan otomasi dan infrastruktur dengan baik bisa menahan dan pulih dari kegagalan dikarenakan kesalahan, serangan yang disengaja ataupun bencana 22 Memastikan meminimalisir dampak bisnis dari hal yang terjadi atas gangguan dan perubahan TI 23 Memastikan bahwa layanan TI yang dibutuhkan tersedia IT Goal 24 Meningkatkan kontribusi dan efisiensi biaya TI terhadap profitabilitas bisnis 25 Memberikan proyek yang tepat waktu dan sesuai anggaran, serta memenuhi standar kualitas 26 Menjaga integritas informasi dan pengolahan terstruktur 27 Memastikan TI patuh terhadap kontrak, peraturan, dan hukum 28 Memastikan TI menunjukan layanan yang berkualitas berefisiensi biaya, perbaikan terus menerus, dan kesiapan untuk perubahan di masa yang akan datang 3.6. IT Process Analysis Karakteristik utama kerangka kerja COBIT adalah pengelompokkan aktivitas teknologi informasi dalam empat domain, yaitu Plan and Organise (PO), Acquire and Implement (AI), Deliver and Support (DS) serta Monitor and Evaluate (ME). Secara jelas, COBIT membagi proses pengelolaan teknologi informasi menjadi empat domain utama dengan total tiga puluh empat IT Process. Masingmasing domain dalam COBIT mempunyai beberapa rincian sebagai berikut: 1. Plan and Oganise (PO). Dalam perencanaan dan organisasi perusahaan ini sudah mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Tetapi

54 36 disini, startegis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Disini sebuah pengorganisasian serta infrastruktur teknologi sudah ditempatkan di tempat yang semestinya. Domain PO ini terdiri dari 10 (sepuluh) IT Process seperti terlihat pada tabel 3.6. Tabel 3.6 Tabel Plan and Organise PLAN AND ORGANISE PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Mendifiniskan rencana strategis TI Mendefinisikan informasi arsitektur Menentukan arah teknologi Mendefinisikan proses TI, Organisasi, dan Relationship Mengelola investasi TI Menejemen komunikasi arah dan tujuan Mengelola sumber daya manusia dan TI Mengelola dan mengendalikan kualitas Menilai dan mengelola resiko TI Mengelola proyek 2. Acquire and Implement (AI). Solusi TI sudah diidentifikasi dan dikembangkan serta diimplementasikan, namun belum diimplementasikan dan terintegrasi ke dalam proses bisnis, tetapi sudah ada perubahan serta pemeliharaan system yang mencakup di dalam domain ini. Pada domain Acquire and Implement sebuah solusi teknologi informasi perlu

55 37 diidentifikasikan, dikembangkan, diimplementasikan dan diintegrasikan kedalam proses bisnis. Domain AI ini terdiri dari 7 (tujuh) IT Process seperti terlihat pada tabel 3.7. Tabel 3.7 Tabel Acquire and Implement ACQUIRE AND IMPLEMENT AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identifikasi masalah otomasi Memperoleh dan memelihara aplikasi Memperoleh dan memelihara infrastruktur teknologi Enable Operation dan menggunakannya Pengadaan sumber daya TI Menejemen perubahan Memasang dan mengakreditasi solusi dan perubahan 3. Deliver and Support (DS). Domain ini berfokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/ masalah keamanan dan juga pelatihan. Domain DS ini terdiri dari 13 (tiga belas) IT Process seperti terlihat pada tabel 3.8.

56 38 Tabel 3.8 Tabel Delivery and Support DELIVERY AND SUPPORT DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Mendefinisikan dan mengelola Service Level Mengelola layanan pihak ketiga Mengelola kinerja dan kapasitas Memastikan keberlangsungan (Continuous) layanan Memastikan keamanan sistem Identifikasi dan alokasi biaya Edukasi dan pelatihan pengguna Mengelola Services Desk dan insiden Menejemen konfigurasi Menejemen masalah Menjemen data Menejemen lingkungan fisik Menjemen operasi 4. Monitor and Evaluate (ME). Menyelenggarakan audit TI yang dilakukan oleh pihak Independent untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan pengelolaan TI dalam mendukung pencapaian tujuan organisasi. Pada domain ini akan ditekankan kepada pentingnya semua proses teknologi informasi perlu diakses secara berkala untuk menjaga kualitas dan kesesuaian dengan standar yang telah ditetapkan. Domain ME ini terdiri dari 4 (empat) IT Process seperti terlihat pada tabel 3.9.

57 39 Tabel 3.9 Tabel Monitoring and Evaluate MONITORING AND EVALUATE ME1 ME2 ME3 ME4 Mengamati dan mengevaluasi peforma TI Mengamati dan mengevaluasi kontrol internal Memastikan kesesuaian dengan persyaratan eksternal Menyediakan tata kelola TI 3.7. Pengolahan Data Untuk mengolah data, diperlukan beberapa tahapan sebagai berikut: Kuesioner Penyebaran kuisioner berguna untuk mengetahui tingkat kematangan tata kelola teknologi informasi perusahaan. Ditujukan kepada pengguna dan pengambil keputusan perusahaan dalam menjalankan teknologi informasi dalam perusahaan tersebut. Penyebaran kuisioner disesuaikan dengan tabel responden dan melibatkan pegawai terkait penggunaan dan pengelolaan teknologi informasi. Kuisioner berisikan pertanyaan-pertanyaan yang terkait dengan domain PO, AI, DS, dan ME. Pertanyaan berasal dari control objective setiap domain. Tiap pertanyaan memiliki nilai bobot 0 sampai 5. Untuk responden, dipilih sesuai dengan tabel RACI (Responsibility, Accountability, Consult, dan Inform) pada proses pengolahan data (ITGI, 2007). Secara garis besar responden yang akan disertakan dapat dilihat pada tabel 3.10 dibawah ini. Tabel 3.10 Tabel RACI RACI Respondent Actual Respondent Jabatan Respondent

58 40 Chief Executive Officer Chief Executive Officer Kepala Bagian TSI Chief Information Offier IT Director Kepala Sub Bagian SI dan Perangkat Lunak Business Process Owner Human Resource Director, Human Resource Head Division, Human Resource Manager, System Analyst Manager Kepala Bagian TSI, Kepala Sub Bagian SI dan Perangkat Lunak, Kepala Sub Bagian Infrastruktur Jaringan Head Operation IT Head Division Kepala Sub Bagian SI dan Perangkat Lunak, Kepala Sub Bagian Infrastruktur Jaringan Chief Architect Head IT Administration Compliance, Audit, Risk and Security Service Desk Manager IT Hardware Manager, IT Asset Manager IT Administration Manager Internal Auditor IT Troubleshooting Manager Kepala Sub Bagian Infrastruktur Jaringan Kepala Bagian Administrasi TSI Kepala Bagian, Kepala Sub Bagian SI dan Perangkat Lunak, Kepala Sub Bagian Infrastruktur Jaringan Kepala Bagian Teknisi Setelah penyebaran kuesioner, dilakukan proses wawancara pada suasana yang tidak formal. Wawancara dilakukan pada Manajer dari divisi Teknologi dan Sistem Informasi (TSI) PDAM Surabaya. Responden tidak diberikan batasan untuk memberikan jawaban, hal tersebut bertujuan untuk menghindari jawaban yang terkesan kaku. Terkadang pertanyaan yang diberikan kepada responden hanya

59 41 memerlukan jawaban ya atau tidak. Pertanyaan-pertanyaan tersebut diberikan dengan tujuan untuk memastikan dan meyakinkan informasi yang didapat adalah benar. Sebelum wawancara dilakukan, peneliti menjelaskan sedikit terkait domain dan proses-proses dari COBIT 4.1 seperti Businness Goal, IT Goal, IT Process, Control Objective, serta proses analisa yang dilakukan. Hasil wawancara berguna untuk mendukung hasil survei kuisioner yang dilakukan sebelumnya Maturity Level Berdasarkan hasil penyebaran kuesioner dan wawancara, diperoleh maturity level atau tingkat kematangan dari setiap proses yang ada dalam domain Plan and Organise, Acquire and Implement, Delivery and Support, dan Monitoring and Evaluate Analisa Data Tahapan setelah pengolahan data adalah tahap analisa data. Tahap analisa data terdiri dari analisa tingkat kematangan saat ini (as-is), analisa tingkat kematangan yang diharapkan (to-be), dan analisa kesenjangan (gap analysis). Tools yang digunakan yaitu aplikasi Microsoft Excel Data mentah yang didapat dari tahapan pengolahan data dimasukan satu persatu kedalam aplikasi sesuai dengan IT Process yang telah ditentukan. Karena banyaknya klausa dari setiap IT Process yang digunakan, maka sebelum dimasukan kedalam aplikasi data tersebut akan dihitung dahulu secara manual untuk mendapatkan satu poin nilai pada satu klausa.

60 Analisa Tingkat Kematangan Saat Ini (as-is) Berdasarkan hasil wawancara dan kuisioner yang dilakukan di PDAM Surabaya, kemudian dilakukan analisa kematangan tata kelola teknologi informasi saat ini (as-is). Analisa kematangan yang dilakukan mencangkup domain PO, AI, DS, dan ME saat ini. Kemudian dilakukan penilaian terhadap kesemua klausa tersebut dan hasilnya akan disesuaikan dengan atribut penilaian kematangan yang ada. Kemudian kesemua nilai tersebut digabungkan sesuai dengan domain masingmasing, sehingga akan diperoleh atribut penilaian dari tiap domain. Nilai tersebut merupakan tingkat kematangan tata kelola teknologi informasi PDAM Surabaya saat ini Analisa Tingkat Kematangan Yang Diharapkan (to-be) Setelah melakukan analisa tingkat kematangan saat ini, kemudian dilakukan analisa tingkat kematangan yang diharapkan (to-be) oleh PDAM Surabaya. Analisa tingkat kematangan yang diharapkan bertujuan untuk acuan dalam pengembangan tata kelola teknologi informasi pada perusahaan tersebut. Analisa tingkat kematangan yang diharapkan dilakukan berdasarkan nilai masingmasing klausa yang telah diketahui sebelumnya. Penilaian tingkat kematangan yang diharapkan diperoleh berdasarkan nilai rata-rata dari klausa yang telah ditentukan Analisa Kesenjangan (gap anlysis) Setelah tingkat kematangan tata kelola teknologi informasi untuk saat ini (as-is) dan tingkat kematangan tata kelola teknologi informasi yang diharapkan (tobe) diperoleh, kemudian dilakukan tahapan analisa kesenjangan (gap analysis). Analisa kesenjangan bertujuan untuk memudahkan perbaikan tata kelola teknologi

61 43 informasi. IT Process mana saja yang memiliki kesenjangan dan perlu perbaikan akan terlihat lebih jelas dalam tahap ini. Analisa kesenjangan juga bertujuan untuk memeberikan penanganan kesenjangan yang lebih terarah dan fokus kepada atribut model. Dalam analisa kesejangan, dilakukan perbandingan secara umum antara tingkat kematangan tata kelola teknologi informasi untuk saat ini (as-is) dan tingkat kematangan tata kelola teknologi informasi yang diharapkan (to-be). Dari perbandingan tingkat kematangan tersebut akan diperoleh proses-proses mana yang tidak sesuai dengan tingkat kematangan yang diinginkan. Untuk dapat melakukan perbaikan terhadap proses yang tidak sesuai tersebut, maka perlu dilakukan analisis kesenjangan atribut model kematangan Rekomendasi Rekomendasi terkait perbaikan diperoleh dari hasil analisis yang dilakukan terhadap tingkat kematangan saat ini (as-is) dan tingkat kematangan yang diharapkan (to-be). Rekomendasi tersebut diharapkan mampu memberikan hasil yang maksimal dalam pengelolaan teknologi informasi pada PDAM Surabaya. Rekomendasi akan disesuaikan dengan strategi bisnis dan kamampuan PDAM Surabaya untuk jangka masa depan. Tidak semua pertanyaan dapat menjadi solusi sehingga dibutuhkan analisis lebih dalam dalam menyusun rekomendasi ini. Rekomendasi akan disusun berdasarkan kondisi PDAM Surabaya sebenarnya. Rekomendasi dapat dijalankan secara bertahap sehingga dapat dikembangkan dan digunakan oleh PDAM Surabaya.

62 BAB IV PEMBAHASAN 4.1. Business Goal Analysis Pada tahap ini akan di definisikan Business Goal atau tujuan bisnis yang berlaku di COBIT 4.1 yang diselaraskan dengan visi dan misi dari PDAM Surabaya. Adapun visi dan misi dari PDAM Surabaya dapat dilihat pada tabel 4.1. Tabel 4.1. Visi dan Misi PDAM Surabaya Visi PDAM Surabaya Misi PDAM Surabaya 1. Tersedianya air minum yang cukup bagi pelanggan melalui perusahaan air minum yang mandiri, berwawasan global, dan terbaik di Indonesia. 1. Memproduksi dan mendistribusikan air minum bagi pelanggan. 2. Memberi pelayanan prima bagi pelanggan dan berkelanjutan bagi pemangku kepentingan. 3. Melakukan usaha lain bagi kemajuan perusahaan dan berpartisipasi aktif dalam kegiatan sosial kemasyarakatan. Hasil dari pemetaan Visi dan Misi PDAM Surabaya yang sesuai dengan Business Goal yang berlaku di COBIT 4.1 bisa dilihat pada tabel berikut: 45

63 46 Tabel 4.2. Hasil pemetaan visi dan misi PDAM Surabaya dengan Business Goal COBIT 4.1 No. Business Goal Cobit 4.1 Misi PDAM Surabaya Perspektif 1 Meningkatkan orientasi pelanggan dan layanan. Memproduksi dan mendistribusikan air minum bagi pelanggan. Perspektif Pelanggan 2 Membangun kontuinitas dan ketersediaan layanan. Memberi pelayanan prima bagi pelanggan dan berkelanjutan bagi pemangku kepentingan. 3 Membuat kecerdasan dalam menanggapi perubahan. Melakukan usaha lain bagi kemajuan perusahaan dan berpartisipasi aktif dalam kegiatan sosial kemasyarakatan. Pada dasarnya COBIT 4.1 terbagi menjadi 4 perspektif, yaitu perspektif keuangan, perspektif pelanggan, perspektif internal, serta perspektif tumbuh dan berkembang. Pada penelitian kali ini yang akan dibahas hanya pada perspektif pelanggan. Hal tersebut bertujuan agar PDAM Surabaya bisa lebih mengoptimalkan potensi yang ada sebesar-besarnya untuk kepuasan pelanggan IT Goal Analysis Setelah Business Goal atau tujuan bisnis teridentifikasi, langkah selanjutnya adalah melakukan analisa pada IT Goal atau tujuan TI yang sesuai dengan perspektif yang dibahas. Nantinya, IT Goal dipilih agar Business Goal perusahaan bisa tercapai. Setelah dilakukan pemetaan, maka didapatkan IT Goal yang bisa dilihat pada tabel dibawah ini.

64 47 Tabel 4.3. Tabel pemetaan Business Goal dengan IT Goal Business Goal Cobit 4.1 IT Goal Perspektif pelanggan 4 Meningkatkan orientasi pelanggan dan layanan. 3, 23 6 Membangun kontuinitas dan ketersediaan layanan. 10, 16, 22, 23 7 Membuat kecerdasan dalam menanggapi perubahan. 1, 5, 25 Dari hasil pemetaan Business Goal dengan IT Goal didapat 3 point yang selanjutnya bisa digunakan untuk menemukan IT Process yang sesuai. Adapun pemetaan dari IT Goal dengan IT Process dapat dilihat pada tabel dibawah ini. Tabel 4.4. Tabel pemetaan dari IT Goal dengan IT Process IT Goal IT Process 1 Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. PO1, PO2, PO4, PO10, AI1, AI6, AI7, DS1, DS3, ME1 3 Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. PO8, AI4, DS1, DS2, DS7, DS8, DS10, DS13 5 Membuat kecerdasan (agility) TI. PO2, PO4, PO7, AI13 10 Menjamin kepuasan timbal balik hubungan pihak ketiga. DS2

65 48 IT Goal IT Process 16 Mengurangi solusi dan pengiriman layanan yang cacat dan berulang-ulang. PO8, AI4, AI6, AI7, DS10 22 Memastikan meminimalisir dampak bisnis dari hal yang terjadi atas gangguan dan perubahan TI. PO6, AI6, DS4, DS12 23 Memastikan bahwa layanan TI yang dibutuhkan tersedia. DS3, DS4, DS8, DS13 25 Memberikan proyek yang tepat waktu dan sesuai anggaran, serta memenuhi standar kualitas. PO8, PO IT Process Analysis COBIT 4.1 membagi IT Process atau proses TI itu sendiri menjadi 4 kelompok bagian (domain), yaitu Plan and Organise, Aqcuire and Implement, Delivery and Support, dan Monitoring and Evaluate. Untuk lebih jelasnya bisa dilihat pada tabel 4.5 dibawah ini. Tabel 4.5. Deskripsi IT Process COBIT 4.1 Domain IT Process Plan and organise PO1, PO2, PO3, PO4, PO5, PO6, PO7, PO8, PO9, PO10 Acquire and implement AI1, AI2, AI3, AI4, AI5, AI6, AI7

66 49 Domain IT Process Delivery and support DS1, DS2, DS3, DS4, DS5, DS6, DS7, DS8, DS9, DS10, DS11, DS12, DS13 Monitoring and evaluate ME1, ME2, ME3, ME4 Setelah dilakukan identifikasi dan pemetaan dari IT Goal dengan IT Process, maka dihasilkan 22 point IT Process yang akan dibahas lebih lanjut pada penelitian ini. Adapun kesemua IT Process yang akan dibahas dapat dilihat pada tabel dibawah ini. Tabel 4.6. IT Process pada PDAM Surabaya Domain IT Process Plan and organise PO1, PO2, PO4, PO6, PO7, PO8, PO10 Acquire and implement AI1, AI3, AI4, AI6, AI7 Delivery and support DS1, DS2, DS3, DS4, DS7, DS8, DS10, DS12, DS13 Monitoring and evaluate ME1

67 50 Deskripsi dari tiap-tiap Proses TI adalah sebagai berikut : Tabel 4.7. Daftar IT Process PDAM Surabaya PLAN AND ORGANISE PO1 Mendifiniskan rencana strategis TI PO2 Mendefinisikan informasi arsitektur PO4 Mendefinisikan proses TI, Organisasi, dan Relationship PO6 Menejemen komunikasi arah dan tujuan PO7 Mengelola sumber daya manusia dan TI PO8 Mengelola dan mengendalikan kualitas PO10 Mengelola proyek ACQUIRE AND IMPLEMENT AI1 Identifikasi masalah otomasi AI3 Memperoleh dan memelihara infrastruktur teknologi AI4 Enable Operation dan menggunakannya AI6 Menejemen perubahan AI7 Memasang dan mengakreditasi solusi dan perubahan

68 51 DELIVERY AND SUPPORT DS1 Mendefinisikan dan mengelola Service Level DS2 Mengelola layanan pihak ketiga DS3 Mengelola kinerja dan kapasitas DS4 Memastikan keberlangsungan (Continuous) layanan DS7 Edukasi dan pelatihan pengguna DS8 Mengelola Services Desk dan insiden DS10 Menejemen masalah DS12 Menejemen lingkungan fisik DS13 Menjemen operasi MONITORING AND EVALUATE ME1 Mengamati dan mengevaluasi peforma TI 4.4. Control Objective Control Objective atau Tujuan Kontrol berisikan hal-hal yang perlu diperhatikan dalam menjalankan IT Process yang akan dijalankan pada PDAM Surabaya. Disinilah peran Framework COBIT 4.1 sebagai best practice dalam menyelaraskan tujuan TI dengan tujuan bisnis pada PDAM Surabaya semakin terlihat jelas (Lampiran 9). Control Objective berperan bagaikan sebuah rel pada kereta api agar laju bisa tetap terkendali (on the track).

69 52 Tabel 4.8. IT Process Control Objective COBIT 4.1 Control Objective Plan and organise PO1. Mendifiniskan rencana strategis TI PO1.1 IT Value Management PO1.2 Business-IT Alignment PO1.3 Assessment of Current Capability and Performance PO1.4 IT Strategic Plan PO2. Mendefinisikan informasi arsitektur PO2.1 Enterprise Information Architecture Model PO2.2 Enterprise Data Dictionary and Data Syntax Rules PO2.3 Data Classification Scheme PO2.4 Integrity Management PO4. Mendefinisikan proses TI, Organisasi, dan Relationship PO4.1 IT Process Framework PO4.2 IT Strategy Committee PO4.3 IT Steering Committee

70 53 PO4.4 Organizational Placement of the IT Function PO4.5 IT Organizational Structure PO4.6 Establishment of Roles and Responsibilities PO4.7 Responsibility for IT Quality Assurance PO4.8 Responsibility for Risk, Security and Compliance PO4.9 Data and System Ownership PO4.10 Supervision PO4.11 Segregation of Duties PO4.12 IT Staffing PO6. Menejemen komunikasi arah dan tujuan PO6.1 IT Policy and Control Environment PO6.2 Enterprise IT Risk and Control Framework PO6.3 IT Policies Management PO6.4 Policy, Standard and Procedures Rollout PO6.5 Communication of IT Objectives and Direction PO7. Mengelola sumber daya manusia dan TI PO7.1 Personnel Recruitment and Retention

71 54 PO7.2 Personnel Competencies PO7.3 Staffing of Roles PO7.4 Personnel Training PO7.5 Dependence Upon Individuals PO7.6 Personnel Clearance Procedures PO7.7 Employee Job Performance Evaluation PO7.8 Job Change and Termination PO8. Mengelola dan mengendalikan kualitas PO8.1 Quality Management System PO8.2 IT Standards and Quality Practices PO8.3 Development and Acquisition Standards PO8.4 Customer Focus PO8.5 Continuous Improvement PO8.6 Quality Measurement, Monitoring and Review PO10. Mengelola proyek PO10.1 Program Management Framework PO10.2 Project Management Framework

72 55 PO10.3 Project Management Approach PO10.4 Stakeholder Commitment PO10.5 Project Scope Statement PO10.6 Project Phase Initiation PO10.7 Integrated Project Plan PO10.8 Project Resources Acquire and implement AI1. Identifikasi masalah otomasi AI1.1 Definition and Maintenance of Business Functional and Technical Requirement AI1.2 Risk Analysis Report AI1.3 Feasibillity Study and Formulation of Alternative Course of Action AI1.4 Requirement and Feasibillity Decision and Approval AI3. Memperoleh dan Memelihara Infrastruktur Teknologi AI3.1 Technological Infrastructure Acquisition Plan AI3.2 Infrastructure Resource Protection and Avaibillity AI3.3 Infrastructure Maintenance

73 56 AI3.4 Feasibillity Test Environment AI4. Enable Operation dan Menggunakannya AI4.1 Planning for Operational Solutions AI4.2 Knowledge Transfer to Bussiness Management AI4.3 Knowledge Transfer to End Users AI4.4 Knowledge Transfer to Operations and Support Staff AI6. Manajemen Perubahan AI6.1 Change Standart and Procedures AI6.2 Impact Assessment, Prioritisation and Authorisation AI6.3 Emergency Changes AI6.4 Change Status Tracking and Reporting AI6.5 Change Closure and Documentation AI7. Memasang dan Mengakreditasi Solusi dan Perubahan AI7.1 Training AI7.2 Test Plan AI7.3 Implementation Plan AI7.4 Test Environment

74 57 AI7.5 System and Data Conversion AI7.6 Testing of Changes AI7.7 Final Acceptance Test AI7.8 Promotion to Production AI7.9 Post-implementation Review Delivery and support DS1. Mendefinisikan dan mengelola Service Level DS1.1 Service Level Management Framework DS1.2 Definition of Services DS1.3 Service Level Agreement DS1.4 Operation Level Agreement DS1.5 Monitoring and Reporting of Service Level Agreement DS1.6 Review of Service Level Agreements and Contracts DS2. Mengelola Layanan Pihak Ketiga DS2.1 Identification of All Supplier Relationships DS2.2 Supplier Relationship Management DS2.3 Supplier Risk Management

75 58 DS2.4 Supplier Performance Monitoring DS3. Mengelola Kinerja dan Kapasitas DS3.1 Performance and Capacity Planning DS3.2 Current Performance and Capacity DS3.3 Future Performance and Capacity DS3.4 IT Resources Avaibillity DS3.5 Monitoring and Reporting DS4. Memastikan Keberlangsungan Layanan DS4.1 IT Continuity Framework DS4.2 IT Contuinity Plans DS4.3 Critical IT Resources DS4.4 Maintenance of the IT Continuity Plan DS4.5 Testing of the IT Continuity Plan DS4.6 IT Contonuity Plan Training DS4.7 Distribution of the IT Continuity Plan DS4.8 IT Services Recovery and Resumption DS4.9 Offside Backup Storage

76 59 DS4.10 Post-resumption Review DS7. Edukasi dan Pelatihan Pengguna DS7.1 Identification of Education and Training Needs DS7.2 Delivery of Training and Education DS7.3 Evaluation of Training Received DS8. Mengelola Services Desk dan insiden DS8.1 Service Desk DS8.2 Registration of Costumer Queries DS8.3 Incident Escalation DS8.4 Incident Closure DS8.5 Reporting and Trend Analysis DS10. Manajemen Masalah DS10.1 Identification and Classification of Problems DS10.2 Problem Tracking and Resolution DS10.3 Problem Closure DS10.4 Integration of Configuration, Incident and Problem Management DS12. Manajemen Lingkungan Fisik

77 60 DS12.1 Site Selection and Layout DS12.2 Physical Security Measure DS12.3 Physical Access DS12.4 Procetion Against Environment Factors DS12.5 Physical Fasilities Management D13. Manajemen Operasi DS13.1 Operations Procedures and Instructions DS13.2 Job Scheduling DS13.3 IT Infrastructure Monitoring DS13.4 Sensitive Document and Output Devices DS13.5 Preventive Maintenance for Hardware Monitoring and Evaluate ME1. Mengamati dan mengevaluasi peforma TI ME1.1 Monitoring Approach ME1.2 Definition and Collection of Monitoring Data ME1.3 Monitoring Method ME1.4 Performance Assessment

78 61 ME1.5 Board and Executive Reporting ME1.6 Remedial Actions 4.5. Maturity Level Berdasarkan analisa secara keseluruhan sebelumnya, diperoleh level kematangan dari setiap proses yang ada dalam domain Plan and Organise, Acquire and Implement, Delivery and Support, dan Monitoring and Evaluate yang dapat dilihat pada sub-bab di bawah ini: Plan and Organise di bawah ini. Analisa dan penjelasan domain Plan and Organise dapat dilihat pada tabel Tabel 4.9. Tabel Maturity Level PO1 Domain Plan and Organise PO1. Mendifiniskan rencana strategis TI Hasil Perhitungan PO1.1 IT Value Management 3.3 PO1.2 Business-IT Alignment 3.3 PO1.3 Assessment of Current Capability and Performance 3.3 PO1.4 IT Strategic Plan 3.3 Rata-rata 3.3

79 62 Tabel Tabel Maturity Level PO2 Domain Plan and Organise PO2. Mendefinisikan informasi arsitektur Hasil Perhitungan PO2.1 Enterprise Information Architecture Model 3.3 PO2.2 Enterprise Data Dictionary and Data Syntax Rules 3.5 PO2.3 Data Classification Scheme 3.3 PO2.4 Integrity Management 3.3 Rata-rata 3.35 Tabel Tabel Maturity Level PO4 Domain Plan and Organise PO4. Mendefinisikan proses TI, Organisasi, dan Relationship Hasil Perhitungan PO4.1 IT Process Framework 3.71 PO4.2 IT Strategy Committee 2.83 PO4.3 IT Steering Committee 3.22 PO4.4 Organizational Placement of the IT Function 3.55 PO4.5 IT Organizational Structure 3 PO4.6 Establishment of Roles and Responsibilities 3.33 PO4.7 Responsibility for IT Quality Assurance 3.66 PO4.8 Responsibility for Risk, Security and Compliance 3.33

80 63 PO4.9 Data and System Ownership 3.33 PO4.10 Supervision 3.33 PO4.11 Segregation of Duties 3.33 PO4.12 IT Staffing 3.66 Rata-rata 3.36 Tabel Tabel Maturity Level PO6 Domain Plan and Organise PO6. Menejemen komunikasi arah dan tujuan Hasil Perhitungan PO6.1 IT Policy and Control Environment 3.26 PO6.2 Enterprise IT Risk and Control Framework 3.33 PO6.3 IT Policies Management 3.44 PO6.4 Policy, Standard and Procedures Rollout 3.66 PO6.5 Communication of IT Objectives and Direction 3.16 Rata-rata 3.37 Tabel Tabel Maturity Level PO7 Domain Plan and Organise PO7. Mengelola sumber daya manusia dan TI Hasil Perhitungan PO7.1 Personnel Recruitment and Retention 3 PO7.2 Personnel Competencies 3.66

81 64 PO7.3 Staffing of Roles 3 PO7.4 Personnel Training 3.66 PO7.5 Dependence Upon Individuals 2.33 PO7.6 Personnel Clearance Procedures 2.66 PO7.7 Employee Job Performance Evaluation 3.55 PO7.8 Job Change and Termination 2.73 Rata-rata 3.07 Tabel Tabel Maturity Level PO8 Domain Plan and Organise PO8. Mengelola dan mengendalikan kualitas Hasil Perhitungan PO8.1 Quality Management System 2.88 PO8.2 IT Standards and Quality Practices 3 PO8.3 Development and Acquisition Standards 3 PO8.4 Customer Focus 2.77 PO8.5 Continuous Improvement 3.33 PO8.6 Quality Measurement, Monitoring and Review 3 Rata-rata 3

82 65 Tabel Tabel Maturity Level PO10 Domain Plan and Organise PO10. Mengelola proyek Hasil Perhitungan PO10.1 Program Management Framework 3.23 PO10.2 Project Management Framework 2.66 PO10.3 Project Management Approach 2.8 PO10.4 Stakeholder Commitment 3.33 PO10.5 Project Scope Statement 3 PO10.6 Project Phase Initiation 2.88 PO10.7 Integrated Project Plan 2.83 PO10.8 Project Resources 2.83 Rata-rata Acquire and Implement Analisa dan penjelasan domain Acquire and Implement dapat dilihat pada tabel di bawah ini. Tabel Tabel Maturity Level AI1 Domain Acquire and Implement AI1. Identifikasi masalah otomasi Hasil Perhitungan AI1.1 Definition and Maintenance of Business Functional and Technical Requirement 2.66

83 66 AI1.2 Risk Analysis Report 3 AI1.3 Feasibillity Study and Formulation of Alternative Course of Action 2.77 AI1.4 Requirement and Feasibillity Decision and Approval 2 Rata-rata 2.61 Tabel Tabel Maturity Level AI3 Domain Acquire and Implement AI3. Memperoleh dan Memelihara Infrastruktur Teknologi Hasil Perhitungan AI3.1 Technological Infrastructure Acquisition Plan 3.33 AI3.2 Infrastructure Resource Protection and Avaibillity 3.55 AI3.3 Infrastructure Maintenance 3 AI3.4 Feasibillity Test Environment 3.33 Rata-rata 3.3 Tabel Tabel Maturity Level AI4 Domain Acquire and Implement AI4. Enable Operation dan Menggunakannya Hasil Perhitungan AI4.1 Planning for Operational Solutions 3 AI4.2 Knowledge Transfer to Bussiness Management 3 AI4.3 Knowledge Transfer to End Users 2.66

84 67 AI4.4 Knowledge Transfer to Operations and Support Staff 3 Rata-rata 2.92 Tabel Tabel Maturity Level AI6 Domain Acquire and Implement AI6. Manajemen Perubahan Hasil Perhitungan AI6.1 Change Standart and Procedures 3.33 AI6.2 Impact Assessment, Prioritisation and Authorisation 3.16 AI6.3 Emergency Changes 2.66 AI6.4 Change Status Tracking and Reporting 3 AI6.5 Change Closure and Documentation 3 Rata-rata 3.03 Tabel Tabel Maturity Level AI7 Domain Acquire and Implement AI7. Memasang dan Mengakreditasi Solusi dan Perubahan Hasil Perhitungan AI7.1 Training 3.33 AI7.2 Test Plan 3.16 AI7.3 Implementation Plan 3.16 AI7.4 Test Environment 3

85 68 AI7.5 System and Data Conversion 3 AI7.6 Testing of Changes 3 AI7.7 Final Acceptance Test 3 AI7.8 Promotion to Production 2.88 AI7.9 Post-implementation Review 3 Rata-rata Deliver and Support Analisa dan penjelasan domain Delivery and Support dapat dilihat pada tabel di bawah ini. Tabel Tabel Maturity Level DS1 Domain Delivery and Support DS1. Mendefinisikan dan mengelola Service Level Hasil Perhitungan DS1.1 Service Level Management Framework 3.13 DS1.2 Definition of Services 3.33 DS1.3 Service Level Agreement 3.11 DS1.4 Operation Level Agreement 2.66 DS1.5 Monitoring and Reporting of Service Level Agreement 3.44

86 69 DS1.6 Review of Service Level Agreements and Contracts 4 Rata-rata 3.28 Tabel Tabel Maturity Level DS2 Domain Delivery and Support DS2. Mengelola Layanan Pihak Ketiga Hasil Perhitungan DS2.1 Identification of All Supplier Relationships 3 DS2.2 Supplier Relationship Management 3.16 DS2.3 Supplier Risk Management 3.11 DS2.4 Supplier Performance Monitoring 3 Rata-rata 3.07 Tabel Tabel Maturity Level DS3 Domain Delivery and Support DS3. Mengelola Kinerja dan Kapasitas Hasil Perhitungan DS3.1 Performance and Capacity Planning 2.66 DS3.2 Current Performance and Capacity 3 DS3.3 Future Performance and Capacity 3 DS3.4 IT Resources Avaibillity 2.88 DS3.5 Monitoring and Reporting 3.22

87 70 Rata-rata 2.95 Tabel Tabel Maturity Level DS4 Domain Delivery and Support DS4. Memastikan Keberlangsungan Layanan Hasil Perhitungan DS4.1 IT Continuity Framework 3 DS4.2 IT Contuinity Plans 3 DS4.3 Critical IT Resources 2.77 DS4.4 Maintenance of the IT Continuity Plan 3 DS4.5 Testing of the IT Continuity Plan 2.66 DS4.6 IT Contonuity Plan Training 2.33 DS4.7 Distribution of the IT Continuity Plan 2.66 DS4.8 IT Services Recovery and Resumption 2.77 DS4.9 Offside Backup Storage 2.93 DS4.10 Post-resumption Review 3 Rata-rata 2.81 Tabel Tabel Maturity Level DS7 Domain Delivery and Support DS7. Edukasi dan Pelatihan Pengguna Hasil Perhitungan DS7.1 Identification of Education and Training Needs 3

88 71 DS7.2 Delivery of Training and Education 3.11 DS7.3 Evaluation of Training Received 2.66 Rata-rata 2.92 Tabel Tabel Maturity Level DS8 Domain Delivery and Support DS8. Mengelola Services Desk dan insiden Hasil Perhitungan DS8.1 Service Desk 3 DS8.2 Registration of Costumer Queries 2.75 DS8.3 Incident Escalation 3 DS8.4 Incident Closure 3 DS8.5 Reporting and Trend Analysis 3.33 Rata-rata 3.02 Tabel Tabel Maturity Level DS10 Domain Delivery and Support DS10. Manajemen Masalah Hasil Perhitungan DS10.1 Identification and Classification of Problems 2.66 DS10.2 Problem Tracking and Resolution 2.58 DS10.3 Problem Closure 2

89 72 DS10.4 Integration of Configuration, Incident and Problem Management 2.66 Rata-rata 2.48 Tabel Tabel Maturity Level DS12 Domain Delivery and Support DS12. Manajemen Lingkungan Fisik Hasil Perhitungan DS12.1 Site Selection and Layout 2.66 DS12.2 Physical Security Measure 3.16 DS12.3 Physical Access 2.55 DS12.4 Procetion Against Environment Factors 2.83 DS12.5 Physical Fasilities Management 3.33 Rata-rata 2.91 Tabel Tabel Maturity Level DS13 Domain Delivery and Support D13. Manajemen Operasi Hasil Perhitungan DS13.1 Operations Procedures and Instructions 2.83 DS13.2 Job Scheduling 2.33 DS13.3 IT Infrastructure Monitoring 2.83 DS13.4 Sensitive Document and Output Devices 2.66

90 73 DS13.5 Preventive Maintenance for Hardware 3 Rata-rata Monitoring and Evaluate Analisa dan penjelasan domain Monitoring and Evaluate dapat dilihat pada tabel di bawah ini. Tabel Tabel Maturity Level ME1 Domain Monitoring and Evaluate ME1. Mengamati dan mengevaluasi peforma TI Hasil Perhitungan ME1.1 Monitoring Approach 3.11 ME1.2 Definition and Collection of Monitoring Data 3.66 ME1.3 Monitoring Method 3.11 ME1.4 Performance Assessment 3.33 ME1.5 Board and Executive Reporting 3.44 ME1.6 Remedial Actions 3.16 Rata-rata Rangkuman Maturity Level Rata-rata hasil perhitungan tingkat kematangan dari tiap Domain yang telah dijabarkan dapat dilihat pada tabel dibawah ini.

91 74 Tabel Tabel Rangkuman Maturity Level Domain PO Keterangan Domain Nilai Kondisi PO1 Mendifiniskan rencana strategis TI 3.33 Proses Terdefinisi PO2 Mendefinisikan informasi arsitektur 3.35 Proses Terdefinisi PO4 Mendefinisikan proses TI, Organisasi, dan Relationship 3.36 Proses Terdefinisi PO6 Menejemen komunikasi arah dan tujuan 3.37 Proses Terdefinisi PO7 Mengelola sumber daya manusia dan TI 3.07 Proses Terdefinisi PO8 Mengelola dan mengendalikan kualitas 3 Proses Terdefinisi PO10 Mengelola proyek 2.95 Proses Terdefinisi Rata-rata 3.2 Proses Terdefinisi Tabel Tabel Rangkuman Maturity Level Domain AI Keterangan Domain Nilai Kondisi AI1 Identifikasi masalah otomasi 2.61 Proses Terdefinisi AI3 Memperoleh dan memelihara infrastruktur teknologi 3.3 Proses Terdefinisi AI4 Enable Operation dan menggunakannya 2.92 Proses Terdefinisi AI6 Menejemen perubahan 3.03 Proses Terdefinisi

92 75 AI7 Memasang dan mengakreditasi solusi dan perubahan 3.06 Proses Terdefinisi Rata-rata 2.98 Proses Terdefinisi Tabel Tabel Rangkuman Maturity Level Domain DS Keterangan Domain Nilai Kondisi DS1 Mendefinisikan dan mengelola Service Level 3.28 Proses Terdefinisi DS2 Mengelola layanan pihak ketiga 3.07 Proses Terdefinisi DS3 Mengelola kinerja dan kapasitas 2.95 Proses Terdefinisi DS4 Memastikan keberlangsungan (Continuous) layanan 2.81 Proses Terdefinisi DS7 Edukasi dan pelatihan pengguna 2.92 Proses Terdefinisi DS8 Mengelola Services Desk dan insiden 3.02 Proses Terdefinisi DS10 Menejemen masalah 2.48 Proses Terdefinisi DS12 Menejemen lingkungan fisik 2.91 Proses Terdefinisi DS13 Menjemen operasi 2.73 Proses Terdefinisi Rata-rata 2.91 Proses Terdefinisi

93 76 Tabel Tabel Rangkuman Maturity Level Domain ME Keterangan Domain Nilai Kondisi ME1 Mengamati dan mengevaluasi peforma TI 3.3 Proses Terdefinisi Rata-rata 3.3 Proses Terdefinisi Rangkuman hasil perhitungan tingkat kematangan dari semua Domain yang telah dijabarkan dapat dilihat pada tabel 4.35 dan juga pada Lampiran 4. Tabel Tabel Rangkuman Maturity Level Semua Domain Keterangan Domain Nilai Kondisi PO Plan and organise 3.22 Proses Terdefinisi AI Acquire and implement 2.98 Proses Terdefinisi DS Delivery and support 2.91 Proses Terdefinisi ME Monitoring and evaluate 3.3 Proses Terdefinisi Rata-rata 3.11 Proses Terdefinisi Hasil perhitungan mendapati rata-rata nilai domain tata kelola teknologi informasi pada PDAM Surabaya sebesar Dari nilai ini dapat tarik kesimpulan bahwa pengelolaan teknologi informasi dilakukan secara Proses Terdefinisi (Defined) artinya pada level ini, proses standar dalam pengembangan suatu produk baru sebagian telah didokumentasikan, proses ini didasari pada proses pengembangan produk yang telah diintegrasikan. Proses-proses ini digunakan

94 77 untuk membantu manager, ketua tim dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Aturan dan tanggung jawab yang sudah sebagian didefinisikan jelas dan dimengerti. Karena proses perangkat lunak belum seluruhnya didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan tidak lengkap mengenai kemajuan proyek tersebut. Biaya, jadwal, dan kebutuhan proyek dalam pengawasan dan kualitas produk yang diawasi Gap Analysis Setelah menilai dan mengetahui tingkat kematangan tata kelola TI saat ini (as-is) sebesar 3.1 maka dilakukan analisis kesenjangan (gap analysis) terhadap tingkat kematangan yang diharapkan (to-be) yaitu sebesar 4. Analisa ini diharapkan dapat memberikan kemudahan bagi pengelolaan TI diantara ke-4 domain. Alasan nilai yang ingin dicapai sebesar 4 adalah melihat kesiapan PDAM Surabaya dalam bidang tata kelola manajemen, pengelolaan SDM dan keuangan. Fokus perusahan pada tahun masih pada pambangunan fisik gedung dan membuka jaringan pipa baru di berbagai wilayah lingkup pemerintahan kota Surabaya, sehingga dana dalam perbaikan dan pengembangan teknologi informasi menjadi terbatas. Tabel dibawah ini menunjukkan gap antara tingkat kematangan saat ini dengan tingkat kematangan yang diharapkan: Tabel Tabel Gap Analysis Domain Tingkat Kematangan Saat Ini Diharapkan Gap PO = 0.74 AI = 1.02

95 78 DS = 1.09 ME = 0.7 Rata-rata ( )/4 = 0.89 Terdapat jarak 0.74 pada domain PO antara kondisi saat ini dengan kondisi yang diharapkan. Terdapat jarak 1.02 pada domain AI antara kondisi saat ini dengan kondisi yang diharapkan. Sedangkan pada domain DS, terdapat jarak 1.09 antara kondisi saat ini dengan kondisi yang diharapkan. Terakhir, terdapat jarak 0.7 pada domain ME antara kondisi saat ini dengan kondisi yang diharapkan. Penulis akan memberikan rekomendasi pada masing-masing IT Process.

96 79 Perbedaan kondisi kesenjangan tata kelola PO saat ini dengan tata kelola PO yang diharapkan dapat dilihat seperti pada gambar dibawah ini: Gambar 4.1. Perbandingan kesenjangan kondisi tata kelola PO saat ini dengan tata kelola yang diharapkan

97 80 Perbedaan kondisi kesenjangan tata kelola AI saat ini dengan tata kelola AI yang diharapkan dapat dilihat seperti pada gambar dibawah ini: Gambar 4.2. Perbandingan kesenjangan kondisi tata kelola AI saat ini dengan tata kelola yang diharapkan

98 81 Perbedaan kondisi kesenjangan tata kelola DS saat ini dengan tata kelola DS yang diharapkan dapat dilihat seperti pada gambar dibawah ini: Gambar 4.3. Perbandingan kesenjangan kondisi tata kelola DS saat ini dengan tata kelola yang diharapkan

99 82 Perbedaan kondisi kesenjangan tata kelola ME saat ini dengan tata kelola ME yang diharapkan dapat dilihat seperti pada gambar dibawah ini: Gambar 4.4. Perbandingan kesenjangan kondisi tata kelola ME saat ini dengan tata kelola yang diharapkan 4.6. Rekomendasi Berdasarkan hasil evaluasi yang telah dilakukan pada PDAM Surabaya, maka rekomendasi diberikan pada tiap domain yang dibahas sesuai dengan tingkat kematangan yang diharapkan (to-be). Adapun Mind Map of Recommendation dapat dilihat pada Lampiran 7.

100 Domain PO1. Mendifiniskan perencanaan strategis TI Perencanaan strategis TI (IT Strategic Planning) diperlukan untuk mengelola dan mengarahkan semua sumber daya TI sejalan dengan prioritas dan strategi bisnis. Fungsi TI dan pemangku kepentingan bisnis bertanggung jawab untuk memastikan bahwa nilai optimal diwujudkan dari proyek dan layanan portofolio. Rencana strategis meningkatkan pemahaman stakeholder kunci mengenai peluang dan keterbatasan TI, menilai kinerja saat ini, mengidentifikasi kapasitas dan kebutuhan sumber daya manusia, dan menjelaskan tingkat investasi yang dibutuhkan. Prioritas dan strategi bisnis akan tercermin dalam portofolio dan dieksekusi oleh rencana taktis TI, yang menentukan tujuan secara ringkas, rencana aksi dan tugas-tugas yang dipahami dan diterima oleh bisnis dan TI. Dalam menjalankan perencanaan strategis TI, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency.

101 84 Perencanaan strategis TI mentukan pemenuhan kebutuhan bisnis untuk TI, yang mempertahankan atau memperluas strategi bisnis dan kebutuhan mengenai manfaat, biaya dan risiko yang sementara menjadi transparan. Maka dari itu, IT Process ini akan mendukung pencapaian Strategic Alignment sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan perencanaan strategis TI antara lain: 1. IT Value Management a. Memastikan bahwa bisnis memiliki portofolio yang jelas. b. Adanya pemahaman perusahaan akan pentingnya investasi wajib dalam bidang teknologi informasi. c. Mendukung kebijakan-kebijakan dalam pengelolaan biaya teknologi informasi dengan penyesuaian protofolio yang ada. d. Proses teknologi informasi yang berjalan hendaknya mampu memberikan peringatan bilamana terjadi indikasi penyimpangan perencanaan dana, waktu, dan fungsi yang mungkin akan memberikan dampak terhadap setiap program yang dimiliki oleh perusahaan.

102 85 e. Memastikan semua layanan teknologi informasi berjalan sesuai dengan ketetapan bersama secara konsisten. f. Memastikan penggunaan dana tepat sasaran dan dijalankan secara transparan serta mudah dalam hal pemantauan. 2. Business-IT Alignment a. Menetapkan proses berjalan secara benar dan memberikan feedback mengenai perencanaan strategis bisnis dan teknologi informasi yang saling terintegrasi. b. Menengahi antara bisnis dan teknologi informasi sehingga keputusan dan prioritas dapat disepakati bersama. 3. Assessment of Current Capabillity and Performance a. Menilai kinerja teknologi yang sedang berlangsung dan hasil dari solusi yang pernah diusulkan sebelumnya. b. Mengumpulkan data untuk pertimbangan pengambilan solusi dimasa yang akan datang ketika terjadi permalasahan. c. Menetapkan kontribusi dari teknologi informasi terhadap tujuan bisnis, fungsi, stabilitas, kompleksitas, biaya, serta kekuatan dan kelemahanya. 4. IT Strategic Plan a. Memiliki perencanaan strategis yang menerangkan kerjasama dengan pemangku kepentingan terkait. b. Menetapkan tujuan dari teknologi informasi dalam memberikan kontribusi kepada tujuan strategis perusahaan.

103 86 c. Teknologi mendukung program investasi layanan teknologi informasi dan aset teknologi informasi. d. Teknologi informasi menentukan bagaimana tujuan perusahaan bisa terpenuhi, bagaimana metode pengukuran yang akan digunakan, serta prosedur untuk memperoleh persetujuan dari pemangku kepentingan. e. Rencana strategis teknologi informasi mencangkup investasi, anggaran operasional, sumber dana, strategis sourching, strategi akusisi, serta peraturan hukum yang berlaku. f. Perencanaan teknologi informasi harus terperinci dengan jelas untuk tindakan selanjutnya yang lebih taktis.

104 87 Seperti yang diketahui, kondisi penerapan perencanaan strategis TI pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan perencanaan strategis TI pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu kebijakan tentang waktu dan cara menjalankan rencana strategis TI yang diberikan kepada manajer masih secara individu sehubungan dengan pelaksanaan proses, dan tidak ada prosedur untuk memeriksa proses tersebut. PDAM Surabaya perlu menyusun prosedur mengenai kebijakan tentang waktu dan cara menjalankan rencana strategis TI sehubungan dengan pelaksanaan proses yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar penerapan perencanaan strategis TI pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka penerapan IT strategic planning sebagai standar praktis maupun pengecualiannya telah menjadi perhatian pihak manajemen organisasi. IT strategic planning merupakan sebuah fungsi di dalam manajemen yang telah ditentukan dengan tanggung jawab berasal dari peraturan perusahaan. Pihak manajemen telah mengawasi jalannya IT strategic planning, memperoleh informasi darinya serta mengukur keefektifannya. Perencanaan TI organisasi telah dibuat dalam jangka pendek dan jangka panjang, dengan perubahan yang akan dikerjakan sesuai kebutuhan yaitu setiap lima tahun sekali. Proses bisnis dan

105 88 kemampuannya dalam memberikan penambahan nilai serta pengaruh dari penggunaan aplikasi dan teknologi merupakan hasil dari koordinasi antara IT Strategy dengan strategi perubahan secara keseluruhan. Perencanaan strategis TI berfokus pada menggabungkan TI dan manajemen bisnis dalam terjemahan dari kebutuhan bisnis ke penawaran layanan, dan pengembangan strategi untuk memberikan layanan ini secara transparan dan efektif, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

106 89 metrik goals IT Proses Aktivitas Menanggapi kebutuhan bisni sejalan dengan strategi bisnis. Menanggapi persyaratan tata kelola yang sejalan dengan board direction. measure Tingkat persetujuan pemilik usaha strategis TI / rencana taktis Tingkat kepatuhan dengan bisnis dan persyaratan tata kelola Tingkat kepuasan bisnis dengan kondisi saat ini (jumlah, ruang lingkup, dll) dari proyek dan aplikasi portfolio set Menentukan bagaimana kebutuhan bisnis dijabarkan dalam penawaran layanan. Menentukan strategi untuk memberikan penawaran layanan. Berkontribusi dalam pengelolaan portofolio investasi bisnis yang enable dengan TI. Menetapkan kejelasan mengenai dampak bisnis dari risiko pada tujuan TI dan sumber daya. Memberikan transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan dan tingkat pelayanan. measure Persentase tujuan TI dalam rencana strategis TI yang mendukung rencana bisnis strategis Persentase inisiatif TI di rencana taktis TI yang mendukung rencana bisnis taktis Persentase proyek TI dalam portofolio proyek TI yang dapat langsung ditelusuri kembali ke rencana taktis TI set Terlibat dengan bisnis dan manajemen senior dalam menyelaraskan perencanaan strategis TI dengan kebutuhan bisnis saat ini dan masa depan Memahami kemampuan TI saat ini Memberikan skema prioritas untuk tujuan bisnis yang mengkuantifikasi kebutuhan bisnis Menerjemahkan perencanaan strategis TI dalam rencana taktis measure Keterlambatan antara update dari rencana strategis / taktis bisnis dan update dari rencana strategis / taktis TI Persentase dari perencanaan strategis / taktis IT di mana perwakilan bisnis telah secara aktif berpartisipasi Keterlambatan antara update dari rencana strategis TI dan update dari rencana taktis TI Persentase rencana taktis TI sesuai dengan struktur/isi yang telah ditetapkan dari rencana tersebut Persentase dari inisiatif IT / proyek yang diperjuangkan oleh pemilik bisnis

107 Domain PO2. Mendefinisikan arsitektur informasi Fungsi sistem informasi menciptakan dan secara teratur memperbarui model informasi bisnis dan mendefinisikan sistem yang tepat untuk mengoptimalkan penggunaan informasi tersebut. Hal ini meliputi pengembangan kamus data perusahaan dengan aturan sintaks data organisasi, skema klasifikasi data dan tingkat keamanan. Proses ini meningkatkan kualitas pengambilan keputusan manajemen dengan memastikan bahwa informasi yang handal dan aman tersedia, dan hal tersebut memungkinkan sumber rasionalisasi sistem informasi secara tepat sesuai dengan strategi bisnis. Proses TI ini juga diperlukan untuk meningkatkan akuntabilitas integritas dan keamanan data dan untuk meningkatkan efektivitas dan kontrol berbagi informasi di seluruh entitas dan aplikasi. Dalam mendefinisikan arsitektur informasi, dibutuhkan IT Resources yaitu Applications dan Information. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Confidentiality, dan Integrity.

108 91 Pengelolaan proses arsitektur informasi memenuhi kebutuhan bisnis untuk TI menjadi tangkas dalam merespon kebutuhan, untuk memberikan informasi yang dapat dipercaya dan konsisten, dan untuk secara mulus dapat mengintegrasikan aplikasi ke dalam proses bisnis. Maka dari itu, IT Process ini akan mendukung pencapaian Strategic Alignment dan Resources Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mendefinisikan arsitektur informasi antara lain: 1. Enterprise Information Architecture Model a. Membangun model arsitektur informasi dalam perusahaan sehingga kelak dapat menjadi acuan dalam pengembangan aplikasi, mendukung rencana teknologi informasi yang ada dan secara konsisten menjalankan rencana teknologi informasi yang sebelumnya telah diterangkan dalam PO1. b. Mampu memberikan fasilitas yang optimal, memiliki kemudahan dalam pertukaran data dan informasi dengan bisnis dengan tetap mempertahankan integritas, fungsionalitas, hemat biaya, tepat waktu, serta mampu mengatasi ketika terjadi kegagalan.

109 92 2. Enterprise Data Dictionary and Data Syntax Rules a. Menjaga keamanan kamus data perusahaan yang berisi aturan syntax data organisasi. b. Kamus data harus memungkinkan untuk berisikan berbagai elemen yang berkaitan antara aplikasi dan sistem, memberikan atau mempromosikan pengetahuan data tersebut kepada teknologi informasi dan pengguna bisnis. c. Mencegah kekeliruan dan ketidak cocokan dari tiap elemen yang telah diciptakan. 3. Data Classification Scheme a. Menetapkan klasifikasi dari skema yang berlaku dalam perusahaan berdasarkan pertimbangan kepekaan tertentu misalnya rahasia data perusahaan. b. Skema tersebut harus memiliki informasi tentang kepemilikan data, definisi tingkat keamanan yang sesuai dengan kontrol perlindungan, serta deskripsi singkat mengenai penyimpanan data dan aturan untuk menghapus data. c. Skema harus selalu digunakan sebagai acuan aturan dasar dalam penerapan aturan pengendalian seperti pengendalian akses dan pengarsipan atau enkripsi. 4. Integrity Management a. Menetapkan dan menerapkan aturan ataupun prosedur yang sesuai untuk menjaga integritas dan konsistensi dari semua data yang

110 93 dimiliki serta tersimpan dalam bentuk elektronik seperti basis data, arsip data, dan sebagainya. Seperti yang diketahui, kondisi penerapan arsitektur informasi pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan arsitektur informasi pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu alat otomatis terkait information architecture digunakan, tetapi proses dan aturan ditentukan oleh penjual perangkat lunak database. Sebuah rencana pelatihan formal telah dikembangkan, tetapi pelatihan formal masih berdasarkan inisiatif individual. PDAM Surabaya perlu menyusun dokumen yang berisi proses dan aturan terkait information architecture hasil diskusi bersama dengan penjual perangkat lunak database. Kemudian menyusun jadwal pelatihan formal terkait proses dan aturan information architecture secara baku yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar penerapan arsitektur informasi pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka pengembangan information architecture harus didukung penuh oleh metode dan teknik secara formal. Akuntabilitas kinerja proses pembangunan arsitektur ditegakkan dan keberhasilan arsitektur informasi diukur. Mendukung alat otomatis tersebar luas. Metrik dasar telah diidentifikasi dan sistem

111 94 pengukuran harus sudah di tempat. Proses definisi arsitektur informasi proaktif dan fokus pada mengatasi kebutuhan bisnis pada masa depan. Organisasi administrasi data secara aktif terlibat dalam semua upaya pengembangan aplikasi, untuk memastikan konsistensi. Repositori otomatis sepenuhnya dilaksanakan. Terlebih model data yang kompleks sedang dilaksanakan untuk meningkatkan kandungan informasi dari database. Sistem informasi eksekutif dan sistem pendukung keputusan yang memanfaatkan ketersediaan informasi. Mendefinisikan arsitektur informasi berfokus pada pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk memastikan integritas dan konsistensi dari semua data, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

112 95 IT Proses Aktivitas metrik goals Mengoptimalkan penggunaan informasi. Memastikan integrasi aplikasi ke dalam proses bisnis. Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Membuat kecerdasan (agility) TI. measure Persentase kepuasan pengguna model informasi Persentase elemen redudansi / duplikat data set Membangun model data perusahaan. Mengurangi redundansi data. Mendukung pengelolaan informasi yang efektif. measure Persentase dari elemen data yang bukan merupakan bagian dari model data perusahaan Persentase ketidakpatuhan dengan skema klasifikasi data Persentase aplikasi yang tidak sesuai dengan arsitektur informasi set Menjamin akurasi arsitektur informasi dan Model data Menetapkan kepemilikan data Mengklasifikasikan informasi menggunakan persetujuan pada skema klasifikasi Memastikan konsistensi antar komponen infrastruktur TI (misalnya, arsitektur informasi, kamus data, aplikasi, sintaks data, skema klasifikasi, tingkat keamanan) Menjaga integritas data measure Frekuensi update untuk model data perusahaan Persentase dari elemen data yang tidak memiliki pemilik Frekuensi kegiatan validasi data Tingkat partisipasi pengguna

113 Domain PO4 Mendefinisikan Proses TI, Organisasi, dan Relationship Sebuah organisasi TI didefinisikan dengan mempertimbangkan persyaratan untuk staf, keterampilan, fungsi, akuntabilitas, otoritas, peran dan tanggung jawab, dan pengawasan. Organisasi tersebut tertanam dalam kerangka proses TI yang menjamin transparansi dan kontrol serta keterlibatan eksekutif senior dan manajemen bisnis. Sebuah komite strategi memastikan pengawasan dewan TI, dan satu atau lebih komite pengarah di mana bisnis dan TI berpartisipasi menentukan prioritas sumber daya TI sejalan dengan kebutuhan bisnis. Proses, kebijakan dan prosedur administratif yang berada di tempat untuk semua fungsi, dengan perhatian khusus untuk mengontrol, jaminan kualitas, manajemen resiko, keamanan informasi, kepemilikan data dan sistem, dan pemisahan tugas. Untuk memastikan dukungan tepat waktu terkait kebutuhan bisnis, TI terlibat dalam proses pengambilan keputusan yang relevan. Dalam mendefinisikan Proses TI, Organisasi, dan Relationship, dibutuhkan IT Resources yaitu People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency.

114 97 Pengelolaan proses TI, organisasi dan relationship memenuhi kebutuhan bisnis untuk TI menjadi tangkas dalam merespon strategi bisnis selama pemenuhan persyaratan tata kelola dan memberikan definisi dan titik kompeten kontak. Maka dari itu, IT Process ini akan mendukung pencapaian Risk Management dan Resources Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mendefinisikan Proses TI, Organisasi, dan Relationship antara lain: 1. IT Process Framework a. Mendefinisikan kerangka kerja proses TI untuk melaksanakan rencana strategis TI. b. Kerangka kerja tersebut harus mencakup struktur proses TI dan hubungannya masing-masing (misalnya, untuk mengelola kesenjangan proses dan proses yang tumpang tindih), kepemilikan, jatuh tempo, pengukuran kinerja, perbaikan, kepatuhan, target kualitas, dan rencana untuk mencapainya. c. Hal-hal tersebut harus menyediakan integrasi antara proses yang khusus untuk TI, manajemen portofolio perusahaan, proses bisnis, dan perubahan proses bisnis.

115 98 d. Kerangka kerja proses TI harus diintegrasikan ke dalam sistem manajemen mutu ( SMM ) dan kerangka pengendalian internal. 2. IT Strategy Committee a. Membentuk komite strategi TI di tingkat dewan. b. Komite tersebut harus memastikan bahwa tata kelola TI sebagai bagian dari tata kelola perusahaan, yang menangani terkait dengan nasihat tentang arah strategis dan tinjauan investasi besar atas nama full board. 3. IT Steering Committee a. Membentuk komite pengarah TI (atau setara) yang terdiri dari eksekutif, bisnis, dan manajemen TI yang bertujuan untuk: i. Menentukan prioritas program investasi IT-enabled sejalan dengan strategi bisnis perusahaan dan prioritas ii. Melacak status proyek dan menyelesaikan konflik sumber daya iii. Pemantauan tingkat layanan dan perbaikan layanan 4. Organizational Placement of the IT Function a. Menempatkan fungsi TI dalam struktur organisasi secara keseluruhan dengan model bisnis yang bergantung pada pentingnya TI dalam perusahaan, khususnya untuk strategi bisnis dan tingkat ketergantungan operasional TI. b. Garis pelaporan dari CIO harus sepadan dengan pentingnya TI dalam perusahaan. 5. IT Organizational Structure

116 99 a. Membentuk struktur organisasi TI internal dan eksternal yang mencerminkan kebutuhan bisnis. b. Selain itu, menempatkan proses di tempat untuk peninjauan struktur organisasi TI secara berkala untuk menyesuaikan kebutuhan staf dan strategi sourcing untuk memenuhi harapan tujuan bisnis dan perubahan keadaan. 6. Establishment of Roles and Responsibilities a. Membangun dan mengkomunikasikan peran dan tanggung jawab untuk personil TI dan pengguna akhir yang menggambarkan antara personil TI dan otoritas pengguna akhir, tanggung jawab, dan akuntabilitas untuk memenuhi kebutuhan organisasi. 7. Responsibility for IT Quality Assurance a. Menetapkan tanggung jawab untuk kinerja fungsi dari jaminan kualitas (QA) dan memberikan kelompok QA dengan sistem QA sesuai, kontrol, dan keahlian komunikasi. b. Memastikan bahwa penempatan organisasi dan tanggung jawab dan besarnya kelompok QA memenuhi persyaratan organisasi. 8. Responsibility for Risk, Security and Compliance a. Menanamkan kepemilikan dan tanggung jawab untuk risiko dalam bisnis TI yang terkait pada tingkat senior yang sesuai. b. Mendefinisikan dan menetapkan peran penting untuk mengelola risiko TI, termasuk tanggung jawab khusus untuk keamanan informasi, keamanan fisik, dan kepatuhan.

117 100 c. Menetapkan risiko dan manajemen keamanan tanggung jawab di tingkat perusahaan untuk menangani masalah organisasi. d. Tanggung jawab manajemen keamanan tambahan mungkin perlu ditetapkan pada tingkat sistem khusus untuk menangani masalah keamanan yang terkait. e. Mendapatkan arahan dari manajemen senior pada risk appetite IT dan persetujuan dari setiap residual IT risk. 9. Data and System Ownership a. Menyediakan bisnis dengan prosedur dan alat-alat, memungkinkan untuk mengatasi tanggung jawabnya untuk kepemilikan data dan sistem informasi. b. Pemilik harus membuat keputusan tentang klasifikasi informasi dan sistem dan melindungi mereka agar tetap sejalan dengan klasifikasi tersebut. 10. Supervision a. Menerapkan praktek pengawasan yang memadai dalam fungsi TI untuk memastikan bahwa peran dan tanggung jawab tersebut dilakukan dengan benar, untuk menilai apakah semua personel memiliki kewenangan yang cukup dan sumber daya untuk menjalankan peran dan tanggung jawab mereka, dan untuk meninjau KPIs secara umum. 11. Segregation of Duties

118 101 a. Menerapkan pembagian peran dan tanggung jawab yang mengurangi kemungkinan untuk satu individu untuk kompromi dengan proses yang kritis (penting). b. Memastikan bahwa personil menjalankan tugas hanya yang berwenang dan yang relevan dengan pekerjaan dan posisi masingmasing. 12. IT Staffing a. Mengevaluasi kebutuhan kepegawaian secara teratur atau pada perubahan besar untuk bisnis, operasional, atau untuk lingkungan TI untuk memastikan bahwa fungsi TI memiliki sumber daya yang cukup dan tepat untuk mendukung tujuan bisnis. 13. Key IT Personel a. Mendefinisikan dan mengidentifikasi personil IT kunci (misalnya, penggantian/personil cadangan), dan meminimalkan ketergantungan pada satu individu yang melakukan fungsi pekerjaan penting. 14. Contracted Staff Policies and Procedures a. Memastikan bahwa konsultan dan tenaga kontrak yang mendukung fungsi TI mengetahui dan mematuhi kebijakan organisasi untuk perlindungan aset informasi organisasi sehingga mereka memenuhi persyaratan kontrak yang telah disepakati. 15. Relationships a. Membangun dan memelihara koordinasi, komunikasi, dan penghubung struktur yang optimal antara fungsi TI dan berbagai

119 102 kepentingan lain di dalam dan di luar fungsi TI, seperti eksekutif, unit bisnis, pengguna individu, pemasok, petugas keamanan, manajer risiko, kelompok kepatuhan perusahaan, agen outsourcing, dan manajemen offsite. Seperti yang diketahui, kondisi pendefinisian Proses TI, Organisasi, dan Relationship pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pendefinisian Proses TI, Organisasi, dan Relationship pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memperhatikan aturan-aturan dan tanggung jawab dari bagian TI di dalam organisasi serta pihak ke tiga. Bagian TI di dalam organisasi yang harus lengkap secara fungsional. Adanya hubungan secara formal antara pihak lain, komite pengendali, audit internal, dan manajemen vendor. Selain itu, PDAM Surabaya juga perlu memastikan terlebih dahulu fungsi dari tenaga TI dan apa yang harus mereka lakukan, serta apa yang pengguna harus lakukan. Keahlian dan kebutuhan para staf TI yang penting-penting dan dirasa cukup memuaskan. Peraturan dan tanggung jawab untuk tiap bagian di dalam organisasi terkait telah didefinisikan dan diimplementasikan.

120 103 Agar pendefinisian Proses TI, Organisasi, dan Relationship pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka organisasi TI secara proaktif harus merespon perubahan dan mencakup semua peran yang diperlukan untuk memenuhi kebutuhan bisnis. Manajemen TI, kepemilikan proses, akuntabilitas dan tanggung jawab perlu didefinisikan dan diseimbangkan. Praktek internal yang baik harus sudah diterapkan dalam fungsi TI organisasi. Manajemen TI memiliki keahlian dan keterampilan yang sesuai untuk mendefinisikan, melaksanakan dan memantau organisasi. Perlu adanya metrik terukur untuk mendukung tujuan bisnis dan faktor penentu keberhasilan (CSF) yang dibakukan. Persediaan keterampilan yang tersedia untuk mendukung staf proyek dan pengembangan profesional. Keseimbangan antara keterampilan dan sumber daya yang tersedia secara internal dan yang dibutuhkan dari organisasi eksternal harus didefinisikan dan ditegakkan. Struktur organisasi TI secara tepat mencerminkan kebutuhan bisnis dengan menyediakan layanan selaras dengan proses bisnis strategis, bukan dengan teknologi yang terisolasi. IT Process ini berfokus pada membangun struktur organisasi yang transparan, TI yang fleksibel dan responsif serta mendefinisikan dan menerapkan proses TI dengan pemilik, peran dan tanggung jawab yang terintegrasi ke dalam proses bisnis dan keputusan, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

121 104 IT Proses Aktivitas metrik goals Menanggapi persyaratan tata kelola yang sejalan dengan board direction. Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Membuat kecerdasan (agility) TI. measure Hasil kepuasan Stakeholder (survei) Jumlah dari inisiatif bisnis yang tertunda karena inersia organisasi TI atau tidak tersedianya kemampuan yang diperlukan Jumlah proses bisnis yang tidak didukung oleh organisasi TI tetapi seharusnya, menurut strategi Jumlah kegiatan inti IT di luar organisasi TI yang tidak disetujui atau tidak dikenakan pada standar organisasi TI set Menetapkan fleksibelilitas dan responsif struktur organisasi TI dan relationship. Dengan jelas mendefinisikan pemilik, peran dan tanggung jawab untuk semua proses IT dan hubungan dengan pemangku kepentingan. measure Jumlah tanggung jawab yang saling bertentangan dalam pandangan pemisahan tugas Jumlah eskalasi atau masalah yang belum terselesaikan karena kurangnya tugas atau tanggung jawab yang cukup Persentase kepuasan stakeholder dengan IT responsives set Mendefinisikan kerangka proses TI Membangun sesuai tubuh dan struktur organisasi measure Persentase peran dengan posisi yang didokumentasikan dan deskripsi otoritas Persentase fungsi / proses operasional TI yang terhubung ke struktur operasional bisnis Frekuensi strategi dan kendali rapat komite

122 Domain PO6 Mengkomunikasikan menejemen arah dan tujuan Manajemen mengembangkan kerangka kontrol TI perusahaan dan mendefinisikan dan mengkomunikasikan kebijakan. Sebuah program komunikasi yang sedang berlangsung diimplementasikan untuk mengartikulasikan misi, tujuan layanan, kebijakan dan prosedur, dll, disetujui dan didukung oleh manajemen. Komunikasi mendukung pencapaian tujuan TI dan menjamin kesadaran dan pemahaman tentang bisnis dan risiko, tujuan dan arah TI. Proses ini memastikan kepatuhan terhadap hukum dan peraturan yang relevan. Dalam mengkomunikasikan menejemen arah dan tujuan, dibutuhkan IT Resources antara lain Information dan People. IT Process ini akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Compliance. Mengkomunikasikan menejemen arah dan tujuan memenuhi kebutuhan bisnis untuk TI dalam penyediaan informasi yang akurat dan tepat waktu pada layanan TI saat ini dan masa depan, serta risiko yang terkait dan tanggung jawabnya. Maka dari itu, IT Process ini akan mendukung pencapaian Strategic

123 106 Alignment dan Risk Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan menejemen komunikasi arah dan tujuan antara lain: 1. IT Policy and Control Environment a. Menentukan aspek-aspek pendukung pengendalian teknologi informasi, serta sejalan dengan filosofi manajemen dan gaya operasi perusahaan. b. Setiap aspek harus mencakup persyaratan dari investasi teknologi, resiko, integritas, nilai etika, kompetensi staf, akuntabillitas, dan tanggung jawab. c. Aspek pengendalian harus berdasarkan budaya yang mendukung tujuan untuk mengantisipasi resiko yang signifikan. d. Mendorong kerjasama antar divisi dan teamwork untuk mendorong kepatuhan dan perbaikan proses yang berkesinambungan, serta mampu menangani proses penyimpangan termasuk kegagalan dengan baik. 2. Enterprise IT Risk and Control Framework a. Mengembangkan dan mempertahankan framework yang memiliki deskripsi perusahaan secara menyeluruh termasuk resiko didalamnya yang sejalan dengan kebijakan teknologi informasi, resiko perusahaan, dan kerangka kontrol. 3. IT Policies Management a. Mengembangkan dan memelihara kebijakan-kebijakan yang dapat mendukung strategi teknologi informasi.

124 107 b. Kebijakan-kebijakan tersebut harus mencangkup peran dan tanggung jawab, proses pengecualian, kepatuhan, referensi prosedur, standarisasi, dan pedoman. c. Relevansi yang dihasilkan harus dikonfirmasi dan disetujui secara rutin. 4. Policy, Standard, and Procedures Rollout a. Menerapkan kebijakan teknologi informasi kepada semua staf sehingga berkembang, merupakan integral dari operasi perusahaan untuk terus menjalankan standar perusahaan. 5. Communication of IT Objectives and Direction a. Pentingnya komunikasi diantara pemangku kepentingan dengan seluruh pengguna di perusahaan mengenai tujuan bisnis dan tujuan teknologi informasi. Seperti yang diketahui, kondisi penerapan menejemen komunikasi arah dan tujuan pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan menejemen komunikasi arah dan tujuan pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu manajemen telah menyadari pentingnya IT security dan telah memulai program tersebut. Tersedia pelatihan formal untuk mendukung lingkungan pengendalian informasi, akan tetapi tidak

125 108 ketat ketika diterapkan. Sementara terdapat kerangka pembangunan secara keseluruhan untuk pengendalian kebijakan dan prosedur, terdapat pemantauan yang tidak konsisten sesuai dengan kebijakan dan prosedur tersebut. PDAM Surabaya perlu melakukan pelatihan formal terkait program IT Security secara lebih ketat sesuai dengan prosedur yang telah dibuat. Kemudian, secara rutin melakukan pemantauan yang sesuai dengan kebijakan dan prosedur tersebut yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar penerapan menejemen komunikasi arah dan tujuan pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka manajemen perlu menerima tanggung jawab untuk mengkomunikasikan kebijakan pengendalian internal dan telah mendelegasikan tanggung jawab tersebut serta mengalokasikan resources yang cukup untuk memelihara lingkungan di dalamnya ketika terjadi perubahan yang signifikan. Secara positif, lingkungan pengendalian informasi telah bersifat proaktif, termasuk komitmen terhadap kualitas serta kesadaran akan IT security telah ditetapkan di dalamnya. Kebijakan, prosedur dan standar telah dikembangkan, dipelihara serta dikomunikasikan dan merupakan gabungan dari praktek-praktek internal yang baik. Sebuah kerangka kerja untuk peluncuran dan pemeriksaan kepatuhan berikutnya harus sudah didirikan. IT Process ini berfokus pada penyediaan yang akurat, kebijakan, prosedur, pedoman dan dokumentasi lainnya dapat dimengerti dan disetujui oleh para pemangku kepentingan, tertanam dalam kerangka kontrol TI, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan

126 109 lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

127 110 goals IT Proses Aktivitas Memastikan transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan dan tingkat pelayanan. Memastikan bahwa transaksi bisnis otomatis dan pertukaran informasi dapat dipercaya. Memastikan bahwa informasi penting dan rahasia dipungut dari orang-orang yang seharusnya tidak memiliki akses ke sana. Memastikan meminimalisir dampak bisnis dari hal yang terjadi atas gangguan dan perubahan TI. Memastikan penggunaan yang tepat dan kinerja aplikasi dan solusi teknologi. Memastikan layanan TI dan infrastruktur benar-benar dapat menahan dan pulih dari kegagalan karena kesalahan, serangan, atau bencana. set Mengembangkan kerangka kontrol TI yang umum dan komprehensif. Mengembangkan seperangkat kebijakan TI dan komprehensif. Berkomunikasi strategi TI, kebijakan dan kerangka kontrol. set Mendefinisikan kerangka kerja pengendalian TI Mengembangkan dan meluncurkan kebijakan TI Menegakkan kebijakan TI Mendefinisikan dan memelihara rencana komunikasi measure measure measure metrik Jumlah kasus di mana informasi rahasia dikompromikan Jumlah gangguan bisnis karena gangguan layanan TI Tingkat pemahaman biaya TI, manfaat, strategi, kebijakan dan tingkat pelayanan Persentase stakeholder yang memahami kebijakan TI Persen TI stakeholder yang memahami perusahaan IT control framework Persentase pemangku kepentingan yang tidak patuh dengan kebijakan Frekuensi review / update kebijakan Ketepatan waktu dan frekuensi komunikasi untuk pengguna Frekuensi review / update kerangka kontrol TI perusahaan

128 Domain PO7 Mengelola sumber daya manusia dan TI Tenaga kerja yang kompeten diperoleh dan dipelihara untuk penciptaan dan pengiriman layanan TI untuk bisnis. Hal ini dicapai berikut dengan definisi dan kesepakatan praktik yang mendukung perekrutan, pelatihan, evaluasi kinerja, promosi dan terminating. Proses ini sangat penting, karena orang-orang adalah aset penting, dan pemerintahan dan lingkungan pengendalian internal sangat bergantung pada motivasi dan kompetensi personil. Dalam mengelola IT Human Resources, dibutuhkan IT Resources yaitu People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency. Pengelolaan sumber daya manusia memenuhi kebutuhan bisnis untuk TI memperoleh orang yang kompeten dan yang termotivasi untuk menciptakan dan memberikan layanan TI. Maka dari itu, IT Process ini akan mendukung pencapaian IT Human Resources dan Resources Management yang sesuai dengan IT

129 112 Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengelola IT Human Resources antara lain: 1. Personnel Recruitment and Retention a. Menjaga proses dan mekanisme perekrutan personil yang sesuai dengan kebijakan dan prosedur organisasi secara keseluruhan. b. Memastikan proses penempatan tenaga kerja teknologi informasi sesuai dengan keterampilan yang diperlukan untuk mencapai tujuan organisasi. 2. Personnel Competencies a. Melakukan verifikasi secara berkala untuk memastikan tiap personil memiliki kompetensi yang memenuhi peran atas dasar pendidikan, pelatihan atau pengalaman yang dimiliki staf teknologi informasi. b. Menentukan syarat-syarat utama dari kompetensi dibidang teknologi informasi dan melakukan verifikasi bahwa staf tersebut mampu mempertahankannya menggunakan kualifikasi dan program sertifikasi mana yang sesuai. 3. Staffing of Roles a. Menentukan, melakukan pemantauan, dan pengawasan peran dan tanggung jawab, serta kerangka kerja kompensasi personil, termasuk persyaratan untuk mematuhi seluruh kebijakan manajemen dan prosedur, kode etik, dan praktek profeional lainnya. b. Tingkat pengawasan harus sesuai dengan jabatan atau posisi yang dipegang dan tanggung jawab yang diemban. 4. Personnel Training

130 113 a. Memfasilitasi adanya pelatihan kepada setiap personil atau staf teknologi informasi dengan orientasi yang sesuai secara rutin dan berkelanjutan yang bertujuan untuk meingkatkan keterampilan, pengetahuan, kemampuan, pengendalian internal, dan kesadaran akan keamanan pada tingkat yang diperlukan untuk mencapai tujuan organisasi. 5. Dependence Upon Individuals a. Meminimalkan ketergantungan pada beberapa individu saja mengenai hal-hal yang bersifat penting atau kritis, hal yang bisa dilakukan dapat berupa transfer ilmu dan pengetahuan (dokumentasi), perencanaan suksesi, dan cadangan staf. 6. Personnel Clearance Procedures a. Melakukan pemeriksaan terhadap latar belakang ketika proses rekrutmen teknolgi informasi dilakukan. b. Tingkat dan frekuensi tinjauan terhadap pemeriksaan tersebut harus bergantung pada sensivitas dan kekritisan fungsi. c. Prosedur yang telah ditetapkan harus diterapkan oleh semua sumber daya manusia yang berada di dalam organisasi, termasuk staf tetap, staf kontrak atau outsourching. 7. Employee Job Performance Evaluation a. Evaluasi terhadap tujuan individu yang berasal dari tujaun organisasi, standar yang ditetapkan, dan tanggung jawab pekerjaan tertentu harus dilakukan secara rutin dan tepat waktu. 8. Job Change and Termination

131 114 a. Pengambilan tindakan ketika terjadi perubahan pekerjaan, salah satu contohnya adalah ketika staf yang terkait diberhentikan bekerja. b. Transfer pengetahuan harus segera dilaksanakan, tanggung jawab dan hak akses yang selama ini dimiliki oleh staf yang diberhentikan tersebut harus segera dihapus atau dihilangkan untuk meminimalkan resiko dan kesinambungan dari fungsinya dapat terjamin. Seperti yang diketahui, kondisi pengelolaan IT Human Resources pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengelolaan IT Human Resources pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa proses untuk mengatur IT human resources management telah ditentukan dan terdokumentasi. Terdapat pendekatan strategis untuk menyewa dan mengatur IT personel dan training yang resmi dirancang agar sesuai dengan kebutuhan IT human resources management. Adanya program rotasi karyawan yang dirancang untuk mengembangkan teknik dan keterampilan manajemen organisasi telah ditetapkan. Agar penerapan pengelolaan IT Human Resources pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka tanggung jawab untuk

132 115 pengembangan dan pemeliharaan sebuah rencana IT human resource management perlu diserahkan kepada individu atau kelompok tertentu, dengan syarat keahlian dan keterampilan tertentu yang diperlukan untuk mengembangkan dan memelihara rencana tersebut. Proses pengaturan dan pengembangan rencana IT human resources management seharusnya telah dapat menjawab perubahan dalam organisasi. Organisasi telah menstandarkan pengukuran yang mengijinkan adanya penyimpangan dari rencana IT human resources management, dengan paksaan tertentu pada pengaturan pertumbuhan dan turn over IT personel. Kompensasi dan tinjauan kinerja telah ditetapkan dan dibandingkan dengan manajemen TI yang lain dan dengan praktek-praktek terbaik. IT Process ini berfokus pada perekrutan dan pelatihan personil, memotivasi melalui jalur karir yang jelas, menetapkan peran yang sesuai dengan keterampilan, membangun proses review, menciptakan deskripsi posisi dan memastikan kesadaran ketergantungan pada individu, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

133 116 IT Proses Aktivitas metrik goals Memperoleh dan mempertahankan keterampilan TI yang menanggapi strategi TI. Membuat kecerdasan (agility) TI. measure Tingkat kepuasan para pemangku kepentingan dengan keahlian dan keterampilan personil TI Turnover personil TI Persentase kepuasan personil TI set Membangun praktek IT manajemen sumber daya manusia secara profesional. Memanfaatkan semua staf TI secara efektif sementara meminimalkan ketergantungan pada staf kunci. measure Persentase anggota staf TI yang memenuhi profil kompetensi untuk peran yang dibutuhkan seperti yang didefinisikan dalam strategi Persentase peran TI yang diisi Persentase hari kerja yang hilang akibat absen yang tidak direncanakan Persentase anggota staf TI yang rencana pelatihan TI tahunan lengkap Rasio realisasi kontraktor untuk personil vs rasio yang direncanakan Persentase karyawan TI yang menjalani pemeriksaan latar belakang Persentase peran IT dengan personil cadangan yang berkualitas set Mempekerjakan dan pelatihan IT personil untuk mendukung rencana taktis TI Mengurangi risiko ketergantungan yang berlebih pada sumber daya kunci Me-review kinerja staf measure Persentase staf TI yang menyelesaikan rencana pengembangan profesional Persentase staf TI dengan ulasan kinerja tepat waktu yang didokumentasikan dan divalidasi Persentase posisi TI dengan deskripsi pekerjaan dan hiring qualifications Jumlah rata-rata hari pelatihan dan pengembangan (termasuk coaching) per orang per tahun Rasio rotasi staf TI Persentase personil TI yang bersertifikat sesuai dengan kebutuhan pekerjaan Jumlah rata-rata hari untuk mengisi peran IT yang terbuka

134 Domain PO8 Mengelola dan mengendalikan kualitas Sebuah QMS dikembangkan dan dipelihara yang mencakup proses pengembangan dan proses dan standar akuisisi. Hal tersebut diaktifkan melalui perencanaan, pelaksanaan dan mempertahankan QMS dengan memberikan kualitas persyaratan, prosedur dan kebijakan yang jelas. Persyaratan kualitas dinyatakan dan dikomunikasikan dalam indikator kuantitatif dan yang dapat dicapai. Perbaikan yang secara berkelanjutan dicapai dengan cara terus menerus melakukan pemantauan, analisis dan bertindak atas penyimpangan, serta mengkomunikasikan hasil kepada para pemangku kepentingan. Manajemen mutu adalah penting untuk memastikan bahwa TI memberikan nilai kepada bisnis, perbaikan secara terusmenerus dan transparansi bagi para pemangku kepentingan. Dalam mengelola dan mengendalikan kualitas, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process ini akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Integrity, dan Reliability.

135 118 Pengelolaan kualitas memenuhi kebutuhan bisnis untuk TI dalam memastikan perbaikan yang terus-menerus dan terukur dari kualitas layanan TI yang disampaikan. Maka dari itu, IT Process ini akan mendukung pencapaian Strategic Alignment yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengelola dan mengendalikan kualitas antara lain: 1. Quality Management System a. Membangun dan memelihara sistem manajemen kualitas. b. Menyediakan standar yang formal dan berkelanjutan mengenai manajemen mutu yang sesuai dengan kebutuhan bisnis. c. Sistem manajemen kualitas (Quality Management System) harus bisa mengidentifikasi kualitas dan kriteria dari persyaratan, proses teknologi informasi kunci, urutan, dan interaksinya, kebijakan, kriteria, dan metode untuk mendefinisikan, mendeteksi, menanggulangi, serta memperbaiki kesalahan. d. Sistem manajemen kualitas harus mendeskripsikan struktur organisasi, hal ini terkait dengan manajemen mutu yang meliputi peran, tugas, dan tanggung jawab.

136 119 e. Semua bidang utama harus menyesuaikan dan mengembangkan rencana kualitas mereka masing-masing dengan kriteria serta kebijakan dan kualitas dari data record. f. Memantau dan melakukan pengukuran seputar efektifitas dan penyerapan Sistem Manajemen Kualitas, kemudian melakukan perbaikan bilamana diperlukan. 2. IT Standards and Quality Practices a. Melakukan identifikasi dan mempertahankan standarisasi, prosedur, dan praktek kunci dari proses teknologi informasi untuk dijadikan sebagai panduan oleh organisasi dalam memenuhi tujuan dari Sistem Manajemen Kualitas. b. Mempraktekan model industri yang baik untuk referensi ketika organisasi akan meningkatkan dan menyesuaikan praktek mutu. 3. Development and Acquisition Standards a. Mengadopsi dan mempertahankan standarisasi untuk semua pengembangan dan akuisisi. b. Melakukan pertimbangan mengenai standarisasi perangkat lunak, format file, skema dan desain data standar, standard user interface, interoperabilitas, efisiensi kinerja sistem, skalabilitas, standarisasi pengembangan dan pengujian, validasi syarat-syarat, rencana pengujian. 4. Customer Focus a. Berfokus pada penyelarasan standar dan praktik dengan manajemen mutu pelanggan.

137 120 b. Menentukan peran dan tanggung jawab ketika terjadi konflik antara pengguna, pelanggan, dan organisasi teknologi informasi. 5. Continuous Improvement a. Menjaga komunikasi mengenai keseluruhan rencana kualitas secara rutin. 6. Quality Measurement, Monitoring and Review a. Menentukan, merencanakan, dan melaksanakan pengukuran yang bertujuan untuk memantau kesesuaian terhadap Sistem Manajemen Kualitas serta memberinya nilai. b. Pengukuran, pemantauan, dan pelaporan informasi harus digunakan untuk acuan pengambilan tindakan dan pencegahan yang tepat. Seperti yang diketahui, kondisi pengelolaan dan pengendalian kualitas pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengelolaan dan pengendalian kualitas pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa praktekpraktek yang biasa untuk menjamin kualitas mulai dipakai didalam organisasi. Selain itu, PDAM Surabaya juga perlu melakukan Survei kepuasan kualitas secara rutin.

138 121 Agar pengelolaan dan pengendalian kualitas pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka QMS harus dibahas dalam semua proses, termasuk proses dengan ketergantungan pada pihak ketiga. Standarisasi yang berdasarkan pengetahuan telah ditetapkan untuk mengetahui kualitas suatu layanan. Metode analisa biaya/keuntungan digunakan untuk menyamakan kualitas website sebagai pelayanan publik. Perbandingan terhadap instansi pemerintah lain. Program pendidikan dan pelatihan dilembagakan untuk mengajarkan semua tingkat organisasi tentang kualitas. Alat dan praktik yang sedang distandarisasi, dan analisis akar penyebab diterapkan secara berkala. Survei kepuasan kualitas perlu secara konsisten dilakukan. Sebuah program standar untuk mengukur kualitas di tempat dan terstruktur dengan baik. Manajemen TI perlu membangun basis pengetahuan untuk metrik kualitas. IT Process ini berfokus pada pemantauan kinerja terhadap tujuan yang telah ditetapkan dan pelaksanaan program untuk perbaikan terus-menerus dari layanan TI, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

139 122 IT Proses Aktivitas metrik goals Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Mengurangi cacat solusi dan pengiriman pelayanan yang dikerjakan berulang ulang. Memberikan proyek yang tepat waktu dan sesuai anggaran, serta memenuhi standar kualitas. measure Persentase kepuasan stakeholder dengan kualitas TI (tertimbang oleh kepentingan) set Menetapkan standar kualitas dan budaya untuk proses TI. Membentuk sebuah fungsi QA TI yang efisien dan efektif. Memantau efektivitas dari proses TI dan proyek TI. measure Persentase cacat yang ditemukan sebelum produksi Persentase pengurangan di sejumlah insiden yang memiliki keparahan tinggi per pengguna per bulan Persentase proyek TI yang diulas dan ditandatangani oleh QA yang memenuhi target kualitas goal and objective Persentase dari proses TI yang secara resmi dikaji oleh QA secara periodik dan bahwa target kualitas sasaran dan tujuan terpenuhi set Mendefinisikan kualitas standar dan praktek Pemantauan dan meninjau kinerja internal dan eksternal terhadap kualitas standar dan praktek yang ditetapkan measure Persentase proyek yang menerima ulasan QA Persentase staf TI yang menerima pelatihan kesadaran / manajemen kualitas Persentase proses TI dan proyek dengan partisipasi QA yang aktif dari stakeholder Persentase proses yang menerima ulasan QA Persentase dari stakeholder yang berpartisipasi dalam survei kualitas

140 Domain PO10 Mengelola proyek Sebuah program dan proyek kerangka kerja manajemen untuk pengelolaan semua proyek TI didirikan. Kerangka kerja ini menjamin prioritas yang benar dan koordinasi dari semua proyek. Kerangka kerja ini termasuk rencana induk, penugasan sumber daya, definisi deliverable, persetujuan oleh pengguna, pendekatan yang bertahap untuk pengiriman, QA, rencana uji yang formal, dan pengujian dan review pasca pelaksanaan setelah instalasi untuk memastikan manajemen risiko proyek dan pengiriman nilai bisnis. Pendekatan ini mengurangi risiko biaya yang tak terduga dan pembatalan proyek, meningkatkan komunikasi dan keterlibatan bisnis dan pengguna akhir, memastikan nilai dan kualitas deliverable proyek, dan memaksimalkan kontribusi mereka terhadap program investasi IT-enabled. Dalam mengelola proyek, dibutuhkan IT Resources antara lain Applications, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency.

141 124 Pengelolaan proyek memenuhi kebutuhan bisnis untuk TI yang memastikan bahwa pengiriman hasil proyek sesuai dengan kesepakatan jangka waktu, anggaran dan kualitas. Maka dari itu, IT Process ini akan mendukung pencapaian Strategic Alignment yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengelola proyek antara lain: 1. Program Management Framework a. Terkait dengan portofolio program investasi teknologi informasi, keberlangsungan proyek harus selalu terjaga dengan cara mengidentifikasi, mendefinisikan, mengevalusi, memprioritaskan, memilih, memulai, mengelola, dan mengendalikan proyek. b. Memastikan bahwa proyek yang sedang berlangsung tetap dalam track mendukung tujuan program. c. Melakukan kordinasi atas setiap kegiatan, mengelola kontribusi dari setiap proyek dalam program untuk mendapatkan hasil yang diharapkan, serta menyelesaikan kebutuhan sumber dan gangguan. 2. Project Management Framework a. Membangun dan menjaga framework dari manajemen proyek yang berisi deskripi-deskripsi dari ruang lingkup dan batasan-batasan

142 125 pengelolaan proyek, serta metode yang akan diterapkan pada setiap proyek yang akan dilaksanakan. b. Kerangka kerja dan metode pendukung harus bisa diintegrasikan dengan proses pengelolaan program. 3. Project Management Approach a. Menerapkan pendekatan manajemen proyek yang sejalan dengan persyaratan, kompleksitas, dan peraturan masing-masing proyek. b. Struktur tata kelola proyek dapat berupa peran, tanggung jawab dan akuntabillitas dari sponsor, panitia, kantor proyek dan manajer proyek, serta mekanisme yang sekiranya dapat memenuhi tanggung jawab seperti pelaporan dan tahap review. c. Memastikan setiap proyek teknologi informasi memiliki sponsor dengan kewenangan yang cukup untuk melaksanakan proyek secara strategis dan keseluruhan. 4. Stakeholder Commitment a. Mendapatkan komitmen dan peran serta dari para stakeholder yang terkait dan berhubungan dengan pelaksanaan proyek terhadap program investasi teknologi informasi secara keseluruhan. 5. Project Scope Statement a. Menetapkan dan melakukan dokumentasi dari ruang lingkup proyek untuk menyelaraskan dan mengembangkan pemahaman umum pemangku kepentingan dari lingkup proyek serta bagaimana keterkaitannya dengan proyek lain dalam keseluruhan progam investasi teknologi informasi.

143 126 b. Definisi proyek secara jelas harus telah disetujui oleh sponsor proyek sebelum proyek tersebut diinisiasi. 6. Project Phase Initiation a. Menyetujui akan dimulainya setiap fase pada proyek besar maupun kecil dan berkomunikasi kepada semua pemangku kepentingan. b. Memiliki dasar keputusan awal terkait tata kelola program. c. Persetujuan fase berikutnya harus berdasar pada review dari fase sebelumnya. d. Persetujuan dari kasus bisnis diperbarui pada tinjauan utama program berikutnya. e. Ketika terjadi tumpang tindih kebijakan, hendaknya dilakukan kordinasi antara tim dan sponsor untuk mengotorisasi perkembangan proyek. 7. Integrated Project Plan a. Menetapkan rencana yang formal dan melakukan integrasi meliputi bisnis dan sumber daya sistem informasi untuk menjadi panduan bagi proyek. b. Kegiatan dari proyek dalam sebuah program harus didokumentsikan dan dipahami. c. Rencana proyek harus tetap dipertahankan selama proyek tersebut berlangsung d. Bilamana terjadi perubahan, harus disetujui bersama dan sesuai dengan program dan kerangka kerja tata kelola proyek. 8. Project Resources

144 127 a. Menentukan tanggung jawab, hubungan, wewenang, dan kriteria kinerja tiap anggota dari tim proyek. b. Menentukan dasar yang tepat ketika terjadi penempatan staf pada bidang tertentu. c. Pengadaan produk dan layanan yang dibutuhkan pada setiap proyek harus direncanakan dan dikelola dengan baik untuk mencapai tujuan proyek dengan mekanisme pengadaan yang dimiliki organisasi. Seperti yang diketahui, kondisi pengelolaan proyek pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengelolaan proyek pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu pelatihan manajemen proyek tersedia adalah hasil dari individual staff initiatives. Prosedur Quality Assurance dan aktivitas pasca implementasi sistem telah didefinisikan, tetapi tidak secara luas diterapkan oleh para manajer TI. PDAM Surabaya perlu melakukan pelatihan manajemen proyek yang lebih terprogram. Selain itu, para manajer TI PDAM Surabaya juga perlu menerapkan prosedur Quality Assurance dan aktivitas pasca implementasi sistem sesuai dengan yang telah ditentukan, dan harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan.

145 128 Agar pengelolaan proyek pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka manajemen membutuhkan metrik proyek formal dan standar dan pelajaran yang ditinjau setelah selesainya proyek. Manajemen proyek diukur dan dievaluasi di seluruh organisasi, bukan hanya dalam TI. Perangkat tambahan untuk proses manajemen proyek formal dan berkomunikasi dengan anggota tim proyek harus terus dilatih. Manajemen TI menerapkan struktur organisasi proyek dengan peran yang didokumentasikan, tanggung jawab dan sesuai kriteria kinerja staf. Kriteria untuk mengevaluasi keberhasilan ditetapkan. Nilai dan risiko diukur dan dikelola sebelum, selama dan setelah selesainya proyek. Proyek mengarah pada tujuan organisasi, bukan hanya orang-orang khusus TI. Dukungan proyek yang kuat dan aktif dari manajemen senior serta para stakeholder. Pelatihan manajemen proyek yang relevan perlu direncanakan untuk staf di kantor manajemen proyek dan seluruh fungsi TI. IT Process ini berfokus pada pendekatan program dan manajemen proyek yang diterapkan untuk proyek-proyek TI dan memungkinkan partisipasi pemangku kepentingan dalam pemantauan risiko proyek dan kemajuan, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

146 129 IT Proses Aktivitas metrik goals Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Memberikan proyek yang tepat waktu dan sesuai anggaran, serta memenuhi standar kualitas. Menanggapi persyaratan tata kelola, serta sejalan dengan board direction. measure Persentase proyek yang memenuhi harapan stakeholder (tepat waktu, sesuai anggaran dan memenuhi persyaratan yang tertimbang oleh kepentingan) set Menetapkan pelacakan proyek dan mekanisme kontrol biaya / waktu. Memberikan transparansi status proyek. Membuat keputusan manajemen proyek tepat waktu pada critical milestone. measure Persentase proyek yang tepat waktu dan sesuai anggaran Persentase proyek yang sesuai dengan harapan pemangku kepentingan set Mendefinisikan dan menegakkan Program dan kerangka kerja dan pendekatan proyek Pedoman manajemen penerbitan proyek Melakukan perencanaan proyek untuk setiap proyek dalam portofolio proyek measure Persentase proyek yang mengikuti standar dan praktek manajemen proyek Persentase manajer proyek yang bersertifikat atau terlatih Persentase penerimaan ulasan pasca pelaksanaan proyek Persentase dari stakeholder yang berpartisipasi dalam proyek (indeks keterlibatan)

147 Domain AI1 Identifikasi masalah otomasi Kebutuhan untuk aplikasi atau fungsi baru membutuhkan analisis sebelum akuisisi atau pembuatan untuk memastikan bahwa kebutuhan bisnis puas dalam pendekatan yang efektif dan efisien. Proses ini meliputi definisi kebutuhan, pertimbangan sumber alternatif, review kelayakan teknologi dan ekonomi, pelaksanaan analisis risiko dan analisis biaya dan manfaat, serta kesimpulan dari keputusan akhir untuk 'membuat' atau 'membeli'. Semua langkah-langkah ini memungkinkan organisasi untuk meminimalkan biaya untuk memperoleh dan menerapkan solusi sementara disisi lain memastikan bahwa mereka memungkinkan bisnis untuk mencapai tujuannya. Dalam mengidentifikasi masalah otomasi, dibutuhkan IT Resources antara lain Applications dan Infrastructure. IT Process ini akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency.

148 131 Pengelolaan proses identifikasi masalah otomasi memenuhi kebutuhan bisnis untuk TI menerjemahkan bisnis fungsional dan kontrol persyaratan menjadi desain solusi otomatis yang efektif dan efisien. Maka dari itu, IT Process ini akan mendukung pencapaian Strategic Alignment dan Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengidentifikasi masalah otomasi antara lain: 1. Definition and Maintenance of Business Functional and Technical Requirement a. Melakukan identifikasi, mengatur prioritas, mendefinisikan spesifikasi dan persetujuan bisnis secara kebutuhan fungsional dan teknikal yang melingkupi scope secara keseluruhan dari kebutuhan yang bersifat inisiasi untuk disimpan menjadi ekspektasi tujuan dari Tujuan TI sebagai investasi. 2. Risk Analysis Report a. Mengidentifikasi, membuat dokumen, dan menganalisa hubungan resiko antara kebutuhan bisnis dengan desain solusi sebagai bagian dari proses organisasi untuk menentukan kebutuhan. 3. Feasibillity Study and Formulation of Alternative Course of Action a. Mengembangkan studi kelayakan untuk mengkaji kemungkinankemungkinan penetapan persyaratan. b. Manajemen bisnis didukung oleh fungsi TI, kelayakan dan tindakan alternatif harus dinilai dan membuat rekomendasi kepada sponsor bisnis. 4. Requirement and Feasibillity Decision and Approval

149 132 a. Memverifikasi bahwa proses tersebut membutuhkan sponsor bisnis untuk disetujui dan ditandatangani pada kebutuhan bisnis fungsional dan teknis serta laporan studi kelayakan pada tahap kunci yang telah ditentukan. b. Sponsor bisnis harus membuat keputusan akhir sehubungan dengan pilihan solusi dan pendekatan akuisisi. Seperti yang diketahui, kondisi penerapan identifikasi masalah otomasi pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan identifikasi masalah otomasi pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa pendekatan yang jelas dan terstruktur dalam menentukan solusi TI telah ada. Pendekatan untuk penentuan solusi TI membutuhkan pertimbangan alternatif yang dievaluasi terhadap persyaratan bisnis atau pengguna, peluang teknologi, kelayakan ekonomi, penilaian risiko, dan faktor lainnya. Proses untuk menentukan solusi TI diterapkan untuk beberapa proyek berdasarkan faktor-faktor seperti keputusan yang dibuat oleh anggota staf individu yang terlibat. Agar penerapan identifikasi masalah otomasi pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka perlu adanya metodologi yang didirikan

150 133 untuk identifikasi dan penilaian dari solusi TI dan digunakan untuk sebagian besar proyek. Dokumentasi proyek yang berkualitas baik, dan setiap tahap disetujui dengan benar. Persyaratan diartikulasikan dengan baik dan sesuai dengan struktur yang telah ditetapkan. Alternatif solusi telah dianggap, termasuk analisis biaya dan manfaat. Metodologi yang jelas, didefinisikan, yang umumnya telah dipahami dan terukur. Terdapat antarmuka yang jelas antara manajemen TI dan bisnis. IT Process ini berfokus pada mengidentifikasi solusi kelayakan teknis dan biaya yang hemat, hal tersebut dapat tercapai (is achieved by) dengan aktivitasaktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikatorindikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

151 134 IT Proses Aktivitas metrik goals Mendefinisikan bagaimana fungsi bisnis dan kebutuhan kontrol diterjemahkan kedalam solusi otomatis yang efektif dan efisien. Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. measure Jumlah proyek dimana status keuntungan manfaat lain yang tidak tercapai karena asumsi kelayakan yang salah. Persentase kepuasan pengguna dengan fungsi tersebut yang disampaikan. set Melakukan identifikasi solusi yang sesuai dengan kebutuhan pengguna. Mengidentifikasi solusi yang secara teknis layak dan berbiaya efektif. Membuat keputusan dalam buy vs build yang bernilai optimistis dan beresiko minimal. measure Persentase stakeholder yang puas dengan akurasi studi kelayakan. Sejauh mana perubahan definisi manfaat ini dari studi kelayakan melalui penerapan. Persentase dari portofolio aplikasi yang tidak konsisten dengan arsitektur. Persentase studi kelayakan yang disampaikan on time and on budget. set Mendefinisikan bisnis dan kebutuhan teknikal. Melakukan undertaking studi kelayakan yang didefinisikan di dalam standar pengembangan. Mengingat kebutuhan keamanan dan pengendalian lebih awal. Menerima (atau menolak) kebutuhan dan kelayakan hasil studi. measure Persentase proyek dalam rencana TI tahunan yang tunduk pada studi kelayakan. Persentase studi kelayakan yang ditandatangani oleh pemilik proses bisnis.

152 Domain AI3 Memperoleh dan memelihara infrastruktur teknologi Organisasi memiliki proses untuk akuisisi, implementasi dan upgrade infrastruktur teknologi. Hal ini membutuhkan pendekatan yang direncanakan untuk akuisisi, pemeliharaan dan perlindungan infrastruktur agar sejalan dengan kesepakatan strategi teknologi dan penyediaan pengembangan dan pengujian lingkungan. Hal ini memastikan bahwa adanya dukungan teknologi yang sedang berlangsung untuk aplikasi bisnis. Dalam memperoleh dan memelihara infrastruktur teknologi, dibutuhkan IT Resources yaitu Infrastructure. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Integritym dan Availabillity. Pengelolaan proses pemeliharaan infrastruktur teknologi memenuhi kebutuhan bisnis untuk TI dalam memperoleh dan memelihara infrastruktur TI yang terintegrasi dan sesuai standar. Maka dari itu, IT Process ini akan mendukung

153 136 pencapaian Resources Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam memperoleh dan memelihara infrastruktur teknologi antara lain: 1. Technological Infrastructure Acquisition Plan a. Menghasilkan rencana untuk akuisisi, implementasi dan pemeliharaan infrastruktur teknologi yang memenuhi kebutuhan bisnis yang didirikan berdasarkan persyaratan fungsional dan teknis serta sesuai dengan arah teknologi organisasi. 2. Infrastructure Resource Protection and Avaibillity a. Menerapkan pengendalian internal, langkah-langkah keamanan dan auditabiliti selama konfigurasi, integrasi dan pemeliharaan perangkat keras dan perangkat lunak infrastruktur untuk melindungi sumber daya dan menjamin ketersediaan dan integritas. b. Tanggung jawab untuk menggunakan komponen infrastruktur yang sensitif harus ditetapkan secara jelas dan dipahami oleh mereka yang mengembangkan dan mengintegrasikan komponen infrastruktur. c. Penggunaannya harus dipantau dan dievaluasi. 3. Infrastructure Maintenance a. Mengembangkan strategi dan rencana untuk pemeliharaan infrastruktur, memastikan bahwa perubahan dikendalikan sesuai dengan prosedur manajemen perubahan organisasi. Termasuk ulasan secara periodik terhadap kebutuhan bisnis, manajemen patch, pengembangan strategi, risiko, penilaian kerentanan dan persyaratan keamanan.

154 Feasibillity Test Environment a. Membangun pengembangan dan pengujian lingkungan untuk mendukung efektif dan efisien kelayakan dan integrasi pengujian komponen infrastruktur. Seperti yang diketahui, kondisi perolehan dan pemeliharaan infrastruktur teknologi pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi perolehan dan pemeliharaan infrastruktur teknologi pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu tidak diterapkannya proses yang mendukung kebutuhan aplikasi bisnis yang kritis dan sejalan dengan strategi bisnis dan TI. PDAM Surabaya perlu menerapkan proses tersebut secara konsisten terlebih dahulu sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar perolehan dan pemeliharaan infrastruktur teknologi pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka akuisisi dan pemeliharaan proses untuk infrastruktur teknologi seharusnya telah berkembang ke titik di mana ia bekerja dengan baik untuk kebanyakan situasi, diikuti secara konsisten dan difokuskan pada usabilitas. Infrastruktur TI secara memadai mendukung aplikasi bisnis. Proses ini harus terorganisir dengan baik dan proaktif. Biaya dan lead time untuk mencapai tingkat yang diharapkan dari skalabilitas, fleksibilitas dan integrasi yang sebagian dioptimalkan.

155 138 IT Process ini berfokus pada menyediakan platform yang tepat untuk aplikasi bisnis sesuai dengan arsitektur TI dan standar teknologi yang ditetapkan, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

156 139 IT Proses Aktivitas metrik goals Memperoleh dan maintenance sebuah infrastruktur TI yang telah terstandarsisasi dan terintegrasi. Optimasi infrastruktur TI, sumber daya dan kapabilitas. Membuat kecerdasan (agility) TI. measure Jumlah proses bisnis kritis yang didukung oleh infrastruktur yang usang (atau segera menjadi usang) set Memberikan platform yang tepat untuk aplikasi bisnis sesuai dengan standar arsitektur dan teknologi TI yang ditetapkan. Menyediakan infrastruktur TI yang handal dan aman. measure Persentase dari platform yang tidak sejalan dengan standar arsitektur dan teknologi TI yang ditetapkan Jumlah platform teknologi yang berbeda dengan fungsi keseluruhan perusahaan Persentase komponen infrastruktur yang diperoleh diluar proses akuisisi Jumlah komponen infrastruktur yang tidak lagi didukung (atau tidak akan dalam waktu dekat) set Memproduksi rencana akuisisi teknologi yang sejalan dengan rencana infrastruktur teknologi. Merencanakan pemeliharaan infrastruktur. Memberikan infrastruktur pengembangan dan pengujian prasarana Menerapkan pengendalian internal, keamanan dan langkah-langkah auditability measure Jumlah dan jenis perubahan yang darurat untuk komponen infrastruktur Jumlah permintaan akuisisi luar biasa Rata-rata waktu untuk mengkonfigurasi komponen infrastruktur

157 Domain AI4 Enable Operation and Use Pengetahuan tentang sistem baru yang tersedia. Proses ini membutuhkan produksi dokumentasi dan manual bagi pengguna dan TI, dan menyediakan pelatihan untuk memastikan penggunaan dan pengoperasian yang tepat dari aplikasi dan infrastruktur. Dalam menerapkan Enable Operation and Use, dibutuhkan IT Resources yakni Applications, Infrastructure, dan People. IT Process ini akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Integrity, Availabillity, Compliance, dan Reliability. Pengelolaan proses enable operation and use memenuhi kebutuhan bisnis untuk TI yang memastikan kepuasan pengguna akhir dengan penawaran layanan dan tingkat layanan, dan secara mulus mengintegrasikan aplikasi dan solusi teknologi ke dalam proses bisnis. Maka dari itu, IT Process ini akan mendukung pencapaian Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-

158 141 hal yang perlu diperhatikan dalam menerapkan Enable Operation and Use antara lain: 1. Planning for Operational Solutions a. Mengembangkan rencana untuk mengidentifikasi dan mendokumentasikan semua teknis, operasional dan penggunaan aspek sehingga semua orang yang akan mengoperasikan, menggunakan, dan memelihara solusi otomatis dapat melaksanakan tanggung jawab mereka. 2. Knowledge Transfer to Bussiness Management a. Mentransfer pengetahuan untuk manajemen bisnis untuk memungkinkan orang-orang untuk mengambil kepemilikan sistem dan data, dan melaksanakan tanggung jawab untuk pengiriman layanan dan kualitas, pengendalian internal, dan administrasi aplikasi. 3. Knowledge Transfer to End Users a. Transfer pengetahuan dan keterampilan untuk memungkinkan pengguna akhir untuk secara efektif dan efisien menggunakan sistem dalam mendukung proses bisnis. 4. Knowledge Transfer to Operations and Support Staff a. Transfer pengetahuan dan keterampilan yang memungkinkan operasi dan staf pendukung teknis untuk secara efektif dan efisien memberikan dukungan dan memelihara sistem dan infrastruktur yang terkait.

159 142 Seperti yang diketahui, kondisi penerapan Enable Operation and Use pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan Enable Operation and Use pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu adanya sebuah proses yang update terhadap prosedur yang spesifik dan materi pelatihan untuk menjadi penyampaian eksplisit dari proyek perubahan. Meskipun adanya pendekatan yang sudah terdefinisi, akan tetapi konten yang sebenarnya masih bervariasi karena tidak adanya kontrol untuk menegakkan kepatuhan terhadap standar. PDAM Surabaya perlu membangun kepatuhan terhadap standar yang berlaku mengenai konten-konten pelatihan proyek perubahan yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar penerapan Enable Operation and Use pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka perlu adanya kerangka yang ditetapkan untuk menjaga prosedur dan bahan pelatihan yang memiliki dukungan manajemen TI. Pendekatan yang dilakukan untuk menjaga prosedur dan pelatihan manual mencakup semua sistem dan unit bisnis, sehingga proses dapat dilihat dari perspektif bisnis. Prosedur dan materi pelatihan yang terintegrasi untuk menyertakan interdependencies and interfaces. Terdapat kontrol untuk memastikan kepatuhan terhadap standar, dan prosedur yang dikembangkan dan dipelihara untuk

160 143 semua proses. Bisnis dan feedback pengguna pada dokumentasi dan pelatihan dikumpulkan dan dinilai sebagai bagian dari proses perbaikan yang terus menerus. Dokumentasi dan materi pelatihan biasanya pada tingkat yang baik dan terprediksi dari keandalan dan ketersediaan. Sebuah proses yang muncul untuk menggunakan dokumentasi prosedur otomatis dan manajemen diimplementasi. Pengembangan prosedur otomatis semakin terintegrasi dengan pengembangan sistem aplikasi yang memfasilitasi konsistensi dan akses pengguna. Bisnis dan pelatihan pengguna harus responsif terhadap kebutuhan bisnis. Manajemen TI perlu mengembangkan metrik untuk pengembangan dan pengiriman dokumentasi, bahan pelatihan dan program pelatihan. IT Process ini berfokus pada menyediakan pengguna yang efektif dan operasional manual dan bahan pelatihan untuk mentransfer pengetahuan yang diperlukan untuk operasi dan penggunaan sistem yang sukses, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

161 144 metrik goals IT Proses Aktivitas Memastikan penggunaan dan yang tepat performa dari aplikasi dan solusi teknologi. Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Memastikan integrasi aplikasi ke dalam proses bisnis. Mengurangi solusi dan layanan pengiriman yang cacat dan pengerjaan ulang. measure Jumlah aplikasi dimana prosedur TI mulus diintegrasikan ke dalam proses bisnis Persentase pemilik usaha yang puas dengan pelatihan aplikasi dan bahanbahan pendukung set Memberikan pengguna yang efektif dan manual operasional dan materi pelatihan untuk aplikasi dan solusi teknis. Transfer pengetahuan yang diperlukan untuk operasi sistem yang sukses. measure Jumlah insiden yang disebabkan oleh pengguna dan dokumentasi operasional dan pelatihan yang kurang. Jumlah panggilan untuk pelatihan yang ditangani oleh services desk. skor kepuasan untuk pelatihan dan dokumentasi yang berkaitan dengan pengguna dan operasional prosedur Mengurangi biaya untuk memproduksi / memelihara dokumentasi pengguna, prosedur operasional dan materi pelatihan set Mengembangkan dan membuat tersedianya dokumentasi transfer pengetahuan. Berkomunikasi dan pelatihan pengguna, manajemen bisnis, staf pendukung dan staf operasional Memproduksi materi pelatihan measure Tingkat kehadiran pelatihan pengguna dan operator untuk setiap aplikasi. Waktu lag antara perubahan dan pembaruan pelatihan, prosedur dan bahan dokumentasi. Ketersediaan, kelengkapan dan akurasi pengguna dan dokumentasi operasional. Jumlah aplikasi dengan pengguna yang memadai dan pelatihan yang mendukung operasional.

162 Domain AI6 Menejemen perubahan Semua perubahan, termasuk perawatan darurat dan patches, yang berkaitan dengan infrastruktur dan aplikasi dalam lingkungan produksi secara resmi dikelola dengan cara yang terkendali. Perubahan (termasuk prosedur, proses, sistem dan layanan parameter) login, dinilai dan disahkan sebelum pelaksanaan dan ditinjau terhadap hasil yang direncanakan mengikuti pelaksanaan. Hal ini menjamin mitigasi risiko yang berdampak negatif pada stabilitas atau integritas lingkungan produksi. Dalam menjalankan menejemen perubahan, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Integrity, Availabillitym dan Reliabillity. Manajemen perubahan memenuhi kebutuhan bisnis untuk TI menanggapi kebutuhan bisnis yang sejalan dengan strategi bisnis, sementara itu juga

163 146 mengurangi pengiriman solusi dan layanan yang cacat dan berulang. Maka dari itu, IT Process ini akan mendukung pencapaian Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan menejemen perubahan antara lain: 1. Change Standart and Procedures a. Menyiapkan prosedur manajemen perubahan formal untuk menangani dengan cara yang standar semua permintaan (termasuk pemeliharaan dan patch) untuk perubahan aplikasi, prosedur, proses, sistem dan parameter layanan, dan platform yang mendasari. 2. Impact Assessment, Prioritisation and Authorisation a. Menilai semua permintaan untuk perubahan dalam cara yang terstruktur untuk menentukan dampak pada sistem operasional dan fungsionalitasnya. b. Memastikan bahwa perubahan dikategorikan, diprioritaskan dan authorised. 3. Emergency Changes a. Menetapkan proses untuk mendefinisikan, mengangkat, pengujian, mendokumentasikan, menilai dan otorisasi perubahan darurat yang tidak mengikuti proses perubahan. 4. Change Status Tracking and Reporting a. Membangun sistem pelacakan dan pelaporan untuk mendokumentasikan perubahan yang ditolak, mengkomunikasikan status yang disetujui dan dalam proses perubahan, serta perubahan yang telah selesai.

164 147 b. Memastikan bahwa perubahan yang telah disetujui diimplementasikan seperti yang telah direncanakan. 5. Change Closure and Documentation a. Setiap kali perubahan diimplementasikan, dilakukan pembaruan pada sistem yang terkait, dokumentasi pengguna dan prosedur yang sesuai. Seperti yang diketahui, kondisi penerapan menejemen perubahan pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan menejemen perubahan pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu kesalahan dan perubahan yang tidak sah kadang-kadang masing terjadi. PDAM Surabaya perlu memastikan bahwa adanya proses manajemen perubahan formal yang didefinisikan, termasuk kategorisasi, prioritas, prosedur darurat, perubahan otorisasi dan manajemen pelepasan, dan kepatuhan. Hal tersebut yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar penerapan menejemen perubahan pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka perlu adanya proses manajemen perubahan yang dikembangkan dengan baik dan konsisten diikuti untuk semua perubahan, dan manajemen yakin bahwa ada pengecualian. Proses ini efisien dan efektif, tetapi

165 148 bergantung pada prosedur manual yang cukup besar dan kontrol untuk memastikan kualitas yang dicapai. Semua perubahan tunduk pada perencanaan menyeluruh dan penilaian dampak untuk meminimalkan kemungkinan masalah pasca-produksi. Terdapat proses persetujuan untuk perubahan. Dokumentasi perubahan manajemen saat ini, dengan perubahan secara resmi dilacak. Dokumentasi konfigurasi harus akurat. Perencanaan manajemen perubahan TI dan pelaksanaan harus menjadi lebih terintegrasi dengan perubahan dalam proses bisnis, untuk memastikan pelatihan tersebut, perubahan organisasi dan isu-isu kelangsungan bisnis harus ditangani. Terdapat peningkatan koordinasi antara manajemen perubahan TI dan desain ulang proses bisnis. Adanya proses yang konsisten untuk memantau kualitas dan kinerja dari proses manajemen perubahan. IT Process ini berfokus pada mengendalikan penilaian dampak, otorisasi dan pelaksanaan semua perubahan pada infrastruktur TI, aplikasi dan solusi teknis. Meminimalkan kesalahan karena spesifikasi permintaan yang tidak lengkap serta menghentikan perubahan pelaksanaan yang tidak sah, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

166 149 metrik goals Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Mengurangi cacat solusi dan pengiriman pelayanan yang dikerjakan berulang ulang. Memastikan meminimalisir dampak bisnis dari hal yang terjadi atas gangguan dan perubahan TI. Menentukan bagaimana bisnis fungsional dan persyaratan kontrol dijabarkan ke dalam solusi otomatis yang efektif dan efisien. Menjaga integritas informasi dan infrastruktur pengolahan. Jumlah gangguan atau kesalahan data yang disebabkan oleh spesifikasi yang tidak akurat atau penilaian dampak yang tidak lengkap. IT Proses Aktivitas measure set Melakukan perubahan secara authorised untuk infrastruktur TI dan aplikasi. Menilai dampak dari perubahan pada infrastruktur TI, aplikasi dan solusi teknis. Status laporan dan jalur perubahan kepada pemangku kepentingan utama. Meminimalkan kesalahan karena spesifikasi permintaan tidak lengkap. measure Jumlah pengerjaan ulang aplikasi karena oleh spesifikasi perubahan yang tidak memadai. Mengurangi waktu dan upaya yang diperlukan untuk membuat perubahan. Persentase dari perbaikan total perubahan yang darurat. Persentase perubahan yang gagal untuk infrastruktur karena spesifikasi perubahan yang tidak memadai. Jumlah perubahan yang tidak secara resmi dilacak, dilaporkan atau yang authorised. Jumlah permintaan perubahan backlogged. set Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk perubahan darurat dan patch. Menilai, memprioritaskan, dan otorisasi perubahan. Perubahan penjadwalan. Status Pelacakan dan pelaporan tentang perubahan. measure Persentase perubahan dicatat dan dilacak dengan alat otomatis. Persentase perubahan yang mengikuti proses pengendalian perubahan resmi. Rasio diterimanya permintaan perubahan yang ditolak. Jumlah perbedaan versi dari setiap aplikasi bisnis atau infrastruktur yang dipelihara. Jumlah dan jenis perubahan darurat untuk komponen infrastruktur. Jumlah dan jenis patch untuk komponen infrastruktur.

167 Domain AI7 Memasang dan mengakreditasi solusi dan perubahan Sistem baru perlu dibuat operasionalnya setelah pembangunan selesai. Hal ini membutuhkan pengujian yang tepat dalam lingkungan yang berdedikasi dengan data tes yang relevan, definisi peluncuran dan petunjuk migrasi, perencanaan rilis dan promosi yang sebenarnya untuk produksi, dan review pasca implementasi. Hal ini menjamin bahwa sistem operasional yang sesuai dengan kesesuaian antara harapan dan hasil. Dalam memasang dan mengakreditasi solusi dan perubahan, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Integrity, dan Availbillity. Memasang dan mengakreditasi solusi dan perubahan memenuhi kebutuhan bisnis untuk TI dalam menerapkan sistem baru ataupun perubahan yang bekerja tanpa masalah yang besar setelah instalasi. Maka dari itu, IT Process ini

168 151 akan mendukung pencapaian Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam memasang dan mengakreditasi solusi dan perubahan antara lain: 1. Training a. Melatih anggota staf dari departemen pengguna yang terkena dampak dan kelompok operasi fungsi IT yang sesuai dengan rencana pelatihan dan perencanaan implementasi dan bahan terkait, sebagai bagian dari setiap pengembangan sistem informasi, implementasi atau modifikasi proyek. 2. Test Plan a. Menetapkan rencana pengujian berdasarkan standar organisasi secara luas yang mendefinisikan peran, tanggung jawab, serta kriteria masuk dan keluar. b. Memastikan bahwa rencana tersebut disetujui oleh pihak-pihak terkait. 3. Implementation Plan a. Memastikan implementasi dan perencanaan fallback/backout. b. Mendapatkan persetujuan dari pihak-pihak terkait. 4. Test Environment a. Mendefinisikan dan menetapkan perwakilan lingkungan pengujian keamanan dari lingkungan operasi relatif yang direncanakan terhadap keamanan, pengendalian internal, praktek operasional, kualitas data dan persyaratan privasi, dan beban kerja. 5. System and Data Conversion

169 152 a. Rencana konversi data dan migrasi infrastruktur sebagai bagian dari metode pengembangan organisasi, termasuk audit, rollbacks dan fallbacks. 6. Testing of Changes a. Perubahan tes secara mandiri dapat sesuai dengan rencana tes yang telah ditentukan sebelum migrasi ke lingkungan operasional. b. Memastikan bahwa rencana tersebut memenuhi aspek keamanan dan kinerja. 7. Final Acceptance Test a. Memastikan bahwa pemilik proses bisnis dan stakeholder TI mengevaluasi hasil dari proses pengujian yang telah ditentukan pada rencana pengujian. b. Memulihkan kesalahan yang signifikan yang diidentifikasi dalam proses pengujian, setelah menyelesaikan suite tes yag teridentifikasi dalam rencana pengujian dan setiap tes regresi yang diperlukan. c. Setelah evaluasi, menyetujui promosi ke produksi. 8. Promotion to Production a. Berikut pengujian, mengontrol serah terima sistem yang berubah kepada operasi, menjaganya agar tetap sejalan dengan rencana implementasi. b. Memperoleh persetujuan dari stakeholder kunci, seperti pengguna, pemilik sistem dan manajemen operasional.

170 153 c. Apabila diperlukan, menjalankan sistem secara paralel dengan sistem lama untuk sementara waktu, kemudian membandingkan perilaku dan hasilnya. 9. Post-implementation Review a. Menetapkan prosedur yang sesuai dengan standar manajemen perubahan organisasi yang memerlukan review pasca-pelaksanaan yang sebagaimana telah diatur dalam rencana implementasi. Seperti yang diketahui, kondisi pemasangan dan akreditasi solusi dan perubahan pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pemasangan dan akreditasi solusi dan perubahan pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu pelatihan, pengujian, dan transisi ke status produksi dan akreditasi cenderung bervariasi dari proses yang telah didefinisikan sebelumnya, tidak jarang berdasarkan keputusan individual. Kualitas sistem tidak konsisten, dengan sistem baru sering menghasilkan tingkat masalah yang signifikan pasca implementasi. PDAM Surabaya perlu melakukan pelatihan, pengujian, dan transisi ke status produksi dan akreditasi sesuai dengan ketentuan yang berlaku. Menjaga terus kepatuhan tersebut agar tidak ada lagi keputusan yang berdasarkan individual. Kemudian menjaga sistem baru yang seringkali bermasalah setelah implementasi dilakukan, melakukan review bila diperlukan. Hal tersebut harus

171 154 terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar pemasangan dan akreditasi solusi dan perubahan pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka prosedur harus diformalkan dan dikembangkan untuk menjadi terorganisir dengan baik dan praktis dengan lingkungan tes yang didefinisikan dan prosedur yang terakreditasi. Dalam prakteknya, semua perubahan besar untuk sistem harus mengikuti pendekatan formal ini. Evaluasi memenuhi kebutuhan pengguna harus sesuai standar dan terukur, memproduksi metrik yang dapat secara efektif ditinjau dan dianalisis oleh manajemen. Kualitas sistem memasuki produksi yang memuaskan untuk manajemen bahkan dengan tingkat yang wajar dari masalah pasca implementasi. Otomatisasi dari proses ini adalah ad-hoc dan project-dependent. Manajemen mungkin puas dengan tingkat efisiensi saat ini meskipun kurangnya evaluasi pasca implementasi. Sistem tes yang memadai mencerminkan lingkungan hidup. Stress testing untuk sistem baru dan pengujian regresi untuk sistem yang ada diterapkan untuk proyek-proyek besar. IT Process ini berfokus pada pengujian bahwa aplikasi dan solusi infrastruktur cocok dengan tujuan dan bebas dari kesalahan, serta perencanaan rilis untuk produksi, hal tersebut dapat tercapai (is achieved by) dengan aktivitasaktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikatorindikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

172 155 metrik goals IT Proses Aktivitas Memastikan bahwa transaksi bisnis otomatis dan pertukaran informasi dapat dipercaya. Mengurangi cacat solusi dan pengiriman pelayanan yang dikerjakan berulang ulang. Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Memastikan integrasi aplikasi ke dalam proses bisnis. Memastikan penggunaan dan performa yang tepat dari aplikasi dan solusi teknologi. Memastikan layanan TI dan infrastruktur TI benar-benar bisa menahan dan pulih dari kegagalan karena kesalahan, serangan, atau bencana. measure Persentase stakeholder yang puas dengan integritas data sistem baru. Persentase dari sistem yang memenuhi manfaat yang diharapkan yang diukur dengan proses pasca-pelaksanaan. set Memastikan dan mengkonfirmasi bahwa aplikasi dan solusi teknologi yang cocok untuk tujuan yang dimaksudkan. Me-release dan mendistribusikan solusi aplikasi dan teknologi yang disetujui. Menyiapkan pengguna bisnis dan operasi untuk menggunakan aplikasi dan solusi teknologi. Memastikan bahwa aplikasi bisnis baru dan perubahan pada aplikasi yang ada bebas dari kesalahan. measure Jumlah kesalahan yang ditemukan selama audit internal atau eksternal mengenai proses instalasi dan akreditasi. Mengolah setelah implementasi karena pengujian penerimaan tidak memadai. Panggilan services desk dari pengguna karena pelatihan yang tidak memadai. Downtime aplikasi atau data perbaikan yang disebabkan oleh pengujian yang tidak memadai. set Menetapkan metodologi tes yang menjamin penerimaan yang cukup untuk pengujian sebelum go-live. Perubahan tracking untuk semua item konfigurasi. Perencanaan rilis Undertaking. Melakukan ulasan pasca implementasi. Mengevaluasi dan menyetujui hasil tes oleh manajemen bisnis. measure Tingkat keterlibatan stakeholder dalam proses instalasi dan akreditasi. Persentase proyek dengan rencana pengujian yang didokumentasikan dan disetujui. Jumlah pelajaran dari ulasan pasca pelaksanaan. Persentase kesalahan yang ditemukan selama review QA dari fungsi instalasi dan akreditasi. Jumlah perubahan tanpa diperlukannya manajemen untuk sign-off sebelum pelaksanaan.

173 Domain DS1 Mendefinisikan dan mengelola Service Level Komunikasi yang efektif antara manajemen TI dan pelanggan bisnis mengenai jasa yang dibutuhkan telah diaktifkan oleh definisi yang didokumentasikan dan kesepakatan tentang layanan TI dan tingkat layanan. Proses ini juga mencakup pemantauan dan pelaporan yang tepat waktu kepada para pemangku kepentingan pada pencapaian tingkat pelayanan. Proses ini memungkinkan penyelarasan antara layanan TI dan kebutuhan bisnis terkait. Dalam mendefinisikan dan mengelola Service Level, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Confidentiallity, Integrity, Availabillity, Compliance, dan Reliabillity. Pengelolaan services level memenuhi kebutuhan bisnis untuk TI dalam memastikan keselarasan layanan TI kunci dengan strategi bisnis. Maka dari itu, IT

174 157 Process ini akan mendukung pencapaian Strategic Alignment, Value Delivery, Resources Management, Performance Measurement yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mendefinisikan dan mengelola Service Level antara lain: 1. Service Level Management Framework a. Mendefinisikan kerangka kerja yang menyediakan proses manajemen tingkat layanan formal antara pelanggan dan penyedia layanan. b. Kerangka kerja tersebut harus menjaga keselarasan secara terus menerus dengan kebutuhan bisnis dan prioritas dan memfasilitasi pemahaman bersama antara pelanggan dan penyedia. c. Kerangka kerja tersebut harus mencakup proses untuk menciptakan kebutuhan layanan, definisi layanan, SLA, OLA dan sumber pendanaan. d. Atribut tersebut harus diatur dalam katalog layanan. e. Kerangka tersebut harus menentukan struktur organisasi untuk manajemen tingkat layanan, yang meliputi peran, tugas dan tanggung jawab dari penyedia layanan internal dan eksternal dan pelanggan. 2. Definition of Services a. Mendefinisikan dasar dari layanan TI pada karakteristik layanan dan kebutuhan bisnis. b. Memastikan bahwa mereka terorganisir dan disimpan secara terpusat melalui pelaksanaan pendekatan portofolio katalog layanan.

175 Service Level Agreement a. Mendefinisikan dan menyetujui SLA untuk semua layanan TI yang penting berdasarkan kebutuhan pelanggan dan kemampuan TI. b. Hal ini harus mencakup komitmen pelanggan seperti persyaratan dukungan layanan, metrik kuantitatif dan kualitatif untuk mengukur layanan yang ditandatangani oleh para pemangku kepentingan, pendanaan dan pengaturan komersial jika berlaku, dan peran dan tanggung jawab, termasuk pengawasan dari SLA. c. Mempertimbangkan item seperti ketersediaan, keandalan, kinerja, kapasitas untuk pertumbuhan, tingkat dukungan, perencanaan kontinuitas, keamanan, dan kendala permintaan. 4. Operation Level Agreement (OLA) a. Menentukan OLA yang menjelaskan bagaimana layanan akan secara teknis disampaikan untuk mendukung SLA secara optimal. b. OLA harus menentukan proses teknis dalam hal-hal yang berarti bagi penyedia dan dapat mendukung beberapa SLA. 5. Monitoring and Reporting of Service Level Agreement a. Terus menerus memantau kriteria kinerja service level tertentu. b. Pelaporan tentang pencapaian tingkat pelayanan harus disediakan dalam format yang berarti bagi para pemangku kepentingan. c. Statistik pemantauan harus dianalisis dan ditindaklanjuti untuk mengidentifikasi tren negatif dan positif untuk layanan individual maupun untuk layanan secara keseluruhan. 6. Review of Service Level Agreements and Contracts

176 159 a. Secara teratur meninjau SLA dan kontrak dasar dengan penyedia layanan internal dan eksternal untuk memastikan bahwa mereka efektif dan up-to-date dan bahwa perubahan persyaratan telah diperhitungkan. Seperti yang diketahui, kondisi pendefinisian dan pengelolaan Service Level pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pendefinisian dan pengelolaan Service Level pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa proses pengembangan SLA dapat untuk menilai kembali tingkat pelayanan dan kepuasan pelanggan. Layanan dan tingkat layanan telah benar didefinisikan, didokumentasikan dan disepakati sesuai standar. Adanya hubungan yang jelas antara tingkat pencapaian pelayanan yang diharapkan dengan dana yang disediakan. Agar pendefinisian dan pengelolaan Service Level pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka tingkat layanan harus semakin didefinisikan dalam fase definisi persyaratan sistem dan dimasukkan ke dalam desain dari aplikasi dan lingkungan operasional. Kepuasan pelanggan secara rutin sebaiknya diukur dan dinilai. Ukuran kinerja mencerminkan kebutuhan pelanggan,

177 160 bukan tujuan TI. Langkah-langkah untuk menilai tingkat pelayanan menjadi standar dan mencerminkan norma-norma industri. Kriteria untuk menentukan tingkat layanan didasarkan pada kekritisan bisnis dan termasuk ketersediaan, keandalan, kinerja, kapasitas pertumbuhan, dukungan pengguna, perencanaan kontinuitas dan pertimbangan keamanan. Analisis akar penyebab secara rutin dilakukan ketika tingkat layanan tidak terpenuhi. Proses pelaporan untuk tingkat layanan monitoring menjadi semakin otomatis. Risiko operasional dan keuangan yang terkait yang tidak memenuhi tingkat layanan yang disepakati didefinisikan dan dipahami dengan jelas. Sebuah sistem pengukuran formal dilembagakan dan dipertahankan. IT Process ini berfokus pada mengidentifikasi kebutuhan layanan, menyepakati tingkat layanan dan pemantauan pencapaian tingkat pelayanan, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

178 161 metrik goals Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Memastikan transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan dan tingkat pelayanan. Persentase pemangku kepentingan bisnis yang puas akan pelayanan yang memenuhi tingkat disepakati Persentase pengguna yang puas akan pelayanan yang memenuhi tingkat disepakati IT Proses Aktivitas measure set Membangun pemahaman umum dari tingkat layanan yang diperlukan. Memformalkan dan memonitor SLA dan kriteria kinerja. Menyelaraskan layanan yang dikirim ke tingkat layanan yang disepakati. Membuat katalog layanan up-to-date yang selaras dengan tujuan bisnis. measure Jumlah jasa yang diberikan tidak dalam katalog Persentase layanan yang sesuai dengan tingkat layanan Persentase dari tingkat layanan yang diukur set Mendefinisikan layanan Memformalkan perjanjian internal dan eksternal sesuai dengan persyaratan dan kemampuan pengiriman Pelaporan pada prestasi tingkat layanan (laporan dan pertemuan) Memastikan bahwa laporan disesuaikan dengan pemirsa penerima Feeding back persyaratan layanan yang baru dan yang telah diperbarui untuk perencanaan strategis measure Jumlah kesesuaian tinjauan SLA formal dengan bisnis per tahun Persentase tingkat pelayanan yang dilaporkan Persentase tingkat pelayanan yang dilaporkan dengan cara otomatis Jumlah hari kerja berlalu untuk menyesuaikan tingkat layanan purna perjanjian dengan pelanggan

179 Domain DS2 Mengelola layanan pihak ketiga Kebutuhan untuk memastikan bahwa layanan yang diberikan oleh pihak ketiga (pemasok, vendor dan mitra) memenuhi persyaratan bisnis yang memerlukan proses manajemen pihak ketiga yang efektif. Proses ini dilakukan dengan mendefinisikan peran secara jelas, tanggung jawab dan harapan dalam perjanjian dengan pihak ketiga serta meninjau dan memantau perjanjian tersebut untuk efektivitas dan kepatuhan. Manajemen yang efektif dari layanan pihak ketiga meminimalkan risiko bisnis yang terkait dengan pemasok yang kurang perform. Dalam mengelola layanan pihak ketiga, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Confidentiallity, Integrity, Availabillity, Compliance, dan Reliabillity. Pengelolaan layanan pihak ketiga memenuhi kebutuhan bisnis untuk TI dalam memberikan layanan pihak ketiga yang memuaskan, sementara itu agar manfaat, biaya dan risiko menjadi transparan. Maka dari itu, IT Process ini akan

180 163 mendukung pencapaian Value Delivery dan Risk Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengelola layanan pihak ketiga antara lain: 1. Identification of All Supplier Relationships a. Mengidentifikasi semua layanan pemasok, dan mengkategorikan mereka sesuai dengan jenis pemasok, signifikansi dan kekritisan. b. Memelihara dokumentasi formal dari hubungan teknis dan organisasi yang meliputi peran dan tanggung jawab, tujuan, kiriman diharapkan, dan mandat perwakilan dari pemasok. 2. Supplier Relationship Management a. Memformalkan proses manajemen hubungan pemasok untuk setiap pemasok. b. Pemilik hubungan harus bekerja sama dalam isu-isu pelanggan dan pemasok, serta memastikan kualitas hubungan berdasarkan kepercayaan dan transparansi ( misalnya, melalui SLA ). 3. Supplier Risk Management a. Mengidentifikasi dan mengurangi risiko yang berkaitan dengan kemampuan pemasok untuk melanjutkan pelayanan yang efektif dengan cara yang aman dan efisien secara terus menerus. b. Memastian bahwa kontrak sesuai dengan standar bisnis secara universal sesuai dengan persyaratan hukum dan peraturan yang berlaku. c. Manajemen risiko harus lebih mempertimbangkan perjanjian nondisclosure (NDAs), escrow kontrak, kelangsungan hidup supplier

181 164 lanjutan, kesesuaian dengan persyaratan keamanan, pemasok alternatif, hukuman dan penghargaan, dll. 4. Supplier Performance Monitoring a. Menetapkan proses pemantauan pelayanan untuk memastikan bahwa pemasok dapat memenuhi kebutuhan bisnis saat ini dan terus mematuhi perjanjian kontrak dan SLA, serta kinerja yang kompetitif dengan pemasok alternatif dan kondisi pasar. Seperti yang diketahui, kondisi pengelolaan layanan pihak ketiga pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengelolaan layanan pihak ketiga pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa tanggung jawab untuk pengawasan terhadap pihak ketiga benar-benar telah ditugaskan kepada karyawan yang berwenang. Termasuk persyaratan kontrak yang didasarkan pada template standar. Kemudian, risiko bisnis yang terkait dengan layanan pihak ketiga dinilai dan dilaporkan. Agar pengelolaan layanan pihak ketiga pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka kriteria standar resmi seharusnya telah ditetapkan untuk menentukan syarat perjanjian, termasuk lingkup kerja,

182 165 services/deliverables yang akan disediakan, assumptions, jadwal, cost, rencana penagihan dan pertanggungjawaban. Pertanggungjawaban untuk kontrak dan vendor managemnent perlu ditetapkan. Kualifikasi, resiko dan kemampuan vendor akan diperiksa terus menerus. Keperluan layanan ditentukan dan dihubungkan dengan tujuan bisnis. Terdapat proses untuk meninjau service performance terhadap keperluan menurut syarat kontrak, menyediakan input untuk menilai third party services sekarang dan masa yang akan datang. Keterlibatan pihak ketiga sudah ditentukan dan berdasarkan keputusan dari pemerintah daerah setempat menyediakan input untuk menilai third party services berdasar perjanjian kontrak untuk sekarang dan masa yang akan datang. Model transfer pricing digunakan dalam proses pengadaan. IT Process ini berfokus pada membangun hubungan dan tanggung jawab bilateral dengan penyedia layanan pihak ketiga yang berkualitas dan memantau pelayanan untuk memverifikasi dan memastikan kepatuhan terhadap perjanjian, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

183 166 metrik goals Memastikan kepuasan bersama dari hubungan pihak ketiga. Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Memastikan transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan dan tingkat pelayanan. Jumlah keluhan pengguna karena layanan yang dikontrak Persentase pembelian yang tunduk pada pengadaan yang kompetitif IT Proses Aktivitas measure set Membangun hubungan dan tanggung jawab bilateral dengan penyedia layanan pihak ketiga yang berkualitas. Memantau pelayanan dan memverifikasi kepatuhan terhadap perjanjian. Memastikan bahwa pemasok sesuai dengan standar internal dan eksternal yang relevan. Mempertahankan keinginan pemasok untuk melanjutkan hubungan. measure Persentase pemasok utama memenuhi persyaratan dan tingkat pelayanan yang jelas Jumlah sengketa formal dengan pemasok Persentase faktur pemasok yang disengketakan set Mengidentifikasi dan mengelompokkan layanan pemasok Mengidentifikasi dan mengurangi risiko pemasok Pemantauan dan pengukuran kinerja pemasok measure Persentase pemasok utama yang tunduk pada persyaratan dan tingkat pelayanan yang jelas Persentase pemasok utama yang sedang dipantau Tingkat kepuasan bisnis dengan efektivitas komunikasi dari pemasok Tingkat kepuasan pemasok dengan efektivitas komunikasi dari bisnis Jumlah insiden signifikan dari pemasok yang tidak patuh per periode waktu

184 Domain DS3 Mengelola kinerja dan kapasitas Kebutuhan untuk mengelola kinerja dan kapasitas sumber daya TI yang membutuhkan proses untuk secara berkala dapat meninjau kinerja dan kapasitas sumber daya TI saat ini. Proses ini meliputi peramalan kebutuhan masa depan berdasarkan beban kerja, penyimpanan dan persyaratan kontingensi. Proses ini memberikan jaminan bahwa sumber informasi yang mendukung kebutuhan bisnis tersedia secara terus menerus. Dalam mengelola kinerja dan kapasitas, dibutuhkan IT Resources yaitu Applications dan Infrastructure. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, dan Availabillity. Pengelolaan kinerja dan kapasitas memenuhi kebutuhan bisnis untuk TI dalam mengoptimalkan kinerja infrastruktur TI, sumber daya dan kemampuan dalam menanggapi kebutuhan bisnis. Maka dari itu, IT Process ini akan mendukung

185 168 pencapaian Resources Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan mengelola kinerja dan kapasitas antara lain: 1. Performance and Capacity Planning a. Menetapkan proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI untuk memastikan bahwa kapasitas biaya benar adanya dan kinerja yang tersedia untuk memproses disepakati sesuai dengan beban kerja sebagaimana ditentukan oleh SLA. b. Kapasitas dan kinerja perencanaan harus memanfaatkan teknik pemodelan yang tepat untuk menghasilkan model saat ini dan perkiraan kinerja pada masa yang akan datang, kapasitas dan throughput dari sumber daya TI. 2. Current Performance and Capacity a. Menilai kinerja dan kapasitas sumber daya TI saat ini untuk menentukan apakah kapasitas dan kinerja yang ada cukup untuk memenuhi tingkat layanan yang disepakati. 3. Future Performance and Capacity a. Melakukan peramalan kinerja dan kapasitas sumber daya TI secara berkala untuk meminimalkan risiko gangguan layanan karena kapasitas yang tidak memadai atau penurunan kinerja, kemudian mengidentifikasi kelebihan kapasitas untuk kemungkinan pemindahan. b. Mengidentifikasi tren beban kerja dan menentukan perkiraan yang bisa menjadi masukan untuk perencanaan kinerja dan kapasitas. 4. IT Resources Avaibillity

186 169 a. Menyediakan kapasitas dan kinerja yang diperlukan, memperhitungkan aspek seperti beban kerja secara normal, kontinjensi, persyaratan penyimpanan dan siklus hidup sumber daya TI. b. Ketentuan seperti memprioritaskan tugas, mekanisme toleransi kesalahan dan praktik alokasi sumber daya harus dibuat. c. Manajemen harus memastikan bahwa perencanaan kontinjensi yang sesuai alamat selalu tersedia, kapasitas dan kinerja sumber daya individu TI. 5. Monitoring and Reporting a. Memantau kinerja dan kapasitas sumber daya TI secara terus menerus. b. Data yang dikumpulkan harus melayani dua tujuan, yaitu : i. Untuk mempertahankan dan menyempurnakan kinerja saat ini dalam TI dan menangani masalah-masalah seperti ketahanan, kontingensi, beban kerja saat ini dan kedepanya, perencanaan penyimpanan, dan akuisisi sumber daya. ii. k melaporkan ketersediaan layanan yang dikirim kepada bisnis, seperti yang dipersyaratkan oleh SLA. Seperti yang diketahui, kondisi pengelolaan kinerja dan kapasitas pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengelolaan kinerja dan kapasitas pada PDAM Surabaya yang

187 170 diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa persyaratan kinerja dan kapasitas ditetapkan sepanjang siklus hidup sistem, serta laporan yang dihasilkan memberikan statistik kinerja. Agar pengelolaan kinerja dan kapasitas pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka proses dan alat yang tersedia untuk mengukur penggunaan sistem, kinerja dan kapasitas, dan hasilnya haruslah dibandingkan dengan tujuan yang ditetapkan. Informasi yang up-to-date tersedia, memberikan statistik kinerja standar dan mengingatkan insiden yang disebabkan oleh kinerja dan kapasitas yang cukup. Isu-isu kinerja dan kapasitas yang tidak memadai ditangani sesuai dengan standarisasi prosedur yang ditetapkan. Alat otomatis yang digunakan untuk memantau sumber daya yang spesifik, seperti disk space, jaringan, server dan gateway jaringan. Statistik kinerja dan kapasitas dilaporkan dalam hal proses bisnis, sehingga pengguna dan pelanggan memahami tingkat layanan TI. Pengguna umumnya akan merasa puas dengan kemampuan layanan saat ini dan mungkin menuntut tingkat ketersediaan yang baru dan ditingkatkan. IT Process ini berfokus pada pemenuhan persyaratan waktu respon dari SLA, meminimalkan downtime, dan membuat perbaikan kinerja dan kapasitas IT secara terus menerus melalui pemantauan dan pengukuran, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat

188 171 diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

189 172 IT Proses Aktivitas metrik goals Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Memastikan bahwa layanan TI yang dibutuhkan tersedia. Mengoptimalkan infrastruktur TI, sumber daya dan kemampuan. measure Jumlah jam yang hilang per pengguna per bulan karena perencanaan kapasitas yang tidak mencukupi Jumlah proses bisnis penting yang tidak tercakup oleh rencana ketersediaan layanan yang terdefinisi set Memantau dan mengukur beban puncak dan waktu respon transaksi. Kesesuaian waktu respon SLA. Minimalkan kegagalan transaksi. Meminimalkan downtime. Mengoptimalkan pemanfaatan sumber daya TI. measure Beban puncak dan tingkat pemanfaatan secara keseluruhan Persentase puncak di mana pemanfaatan target terlampaui Persentase waktu respon dari SLA yang tidak sesuai Tingkat kegagalan transaksi set Merencanakan dan menyediakan kapasitas dan ketersediaan sistem Monitoring dan pelaporan kinerja sistem Pemodelan dan peramalan kinerja sistem measure Frekuensi kinerja dan kapasitas peramalan Persentase aset termasuk dalam ulasan kapasitas Persentase aset yang dipantau melalui alat yang terpusat

190 Domain DS4 Memastikan keberlangsungan (Continuous) layanan Kebutuhan untuk menyediakan layanan TI yang berkelanjutan memerlukan pengembangan, pemeliharaan, dan pengujian rencana TI yang berkesinambungan, memanfaatkan penyimpanan offsite backup dan memberikan pelatihan rencana yang berkesinambungan secara periodik. Sebuah proses pelayanan yang berkesinambungan secara efektif meminimalkan probabilitas dan dampak dari gangguan layanan TI yang besar pada fungsi bisnis dan proses utama. Dalam memastikan keberlangsungan layanan, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, dan Availabillity. Memastikan keberlangsungan (Continuous) layanan memenuhi kebutuhan bisnis untuk TI dalam memastikan gangguan layanan TI yang berdampak terhadap

191 174 bisnis dapat diminimalisir. Maka dari itu, IT Process ini akan mendukung pencapaian Value Delivery dan Risk Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam memastikan keberlangsungan layanan antara lain: 1. IT Continuity Framework a. Mengembangkan kerangka kerja untuk kelangsungan TI untuk mendukung manajemen kelangsungan bisnis perusahaan yang menggunakan proses yang konsisten. b. Tujuan dari kerangka kerja tersebut harus membantu dalam menentukan ketahanan yang diperlukan infrastruktur dan untuk mendorong pengembangan pemulihan bencana dan perencanaan kontingensi TI. c. Kerangka kerja tersebut harus membahas struktur organisasi untuk manajemen kontinuitas, meliputi peran, tugas dan tanggung jawab dari penyedia layanan internal dan eksternal, manajemen dan pelanggan mereka, dan proses perencanaan yang menciptakan aturan dan struktur untuk mendokumentasikan, melakukan tes, dan melaksanakan pemulihan bencana dan perencanaan kontingensi TI. d. Rencana tersebut juga harus membahas barang-barang seperti identifikasi sumber daya yang kritis, mencatat dependensi kunci, pemantauan dan pelaporan ketersediaan sumber daya yang kritis, alternatif pengolahan, dan prinsip-prinsip backup dan recovery. 2. IT Contuinity Plans

192 175 a. Mengembangkan perencanaan TI yang berkesinambungan berdasarkan kerangka dan dirancang untuk mengurangi dampak dari gangguan besar pada fungsi bisnis utama dan prosesnya. b. Rencana harus didasarkan pada pemahaman risiko potensial pada dampak bisnis dan persyaratan ketahanan, alternatif pengolahan dan kemampuan pemulihan semua layanan TI yang kritis. c. Mereka juga harus mencakup pedoman penggunaan, peran dan tanggung jawab, prosedur, proses komunikasi, dan pendekatan pengujian. 3. Critical IT Resources a. Memusatkan perhatian pada item yang ditetapkan sebagai yang paling penting dalam perencanaan TI yang berkesinambungan untuk membangun ketahanan dan menetapkan prioritas dalam situasi pemulihan. b. Menghindari gangguan pada pemulihan item yang kurang kritis dan memastikan respons dan pemulihan yang sejalan dengan kebutuhan bisnis yang telah diprioritaskan, sambil memastikan bahwa biaya yang disimpan pada tingkat yang dapat diterima dan sesuai dengan persyaratan peraturan dan kontrak. c. Mempertimbangkan ketahanan, respons dan persyaratan pemulihan untuk tingkatan yang berbeda, misalnya, satu sampai empat jam, empat sampai 24 jam, lebih dari 24 jam dan periode operasional bisnis yang penting. 4. Maintenance of the IT Continuity Plan

193 176 a. Mendorong manajemen TI untuk menentukan dan melaksanakan prosedur perubahan kontrol untuk memastikan bahwa perencanaan TI yang berkesinambungan terus up-to-date dan terus mencerminkan kebutuhan bisnis yang sebenarnya. b. Komunikasi atas perubahan dalam prosedur dan tanggung jawab secara jelas dan pada waktu yang tepat. 5. Testing of the IT Continuity Plan a. Menguji perencanaan TI yang berkesinambungan secara teratur untuk memastikan bahwa sistem TI dapat secara efektif pulih, kekurangan dapat ditangani dan rencana tetap relevan. b. Hal tersebut membutuhkan persiapan yang matang, dokumentasi, pelaporan hasil pengujian dan hasil dari pelaksanaan atau aksi sesuai rencana. c. Mempertimbangkan tingkat pengujian pemulihan aplikasi tunggal untuk skenario pengujian terpadu untuk end-to-end pengujian dan penjual pengujian terpadu. 6. IT Contonuity Plan Training a. Menyediakan semua pihak terkait dengan sesi pelatihan rutin mengenai prosedur dan peran mereka dan tanggung jawab dalam kasus insiden atau bencana. b. Verifikasi dan meningkatkan pelatihan sesuai dengan hasil tes kontingensi. 7. Distribution of the IT Continuity Plan

194 177 a. Menentukan bahwa strategi distribusi ter-manage dan yang berhasil telah ada untuk memastikan bahwa rencana sudah benar dan aman untuk didistribusikan dan tersedia untuk yang berwenang, kapan dan di manapun diperlukan. b. Memperhatikan yang harus dibayar untuk membuat rencana yang akan diakses di bawah semua skenario bencana. 8. IT Services Recovery and Resumption a. Perencanaan tindakan yang akan diambil untuk periode tertentu ketika TI sudah mulai pulih dan melanjutkan layanan. b. Hal tersebut mungkin termasuk aktivasi situs cadangan, inisiasi alternatif pengolahan, komunikasi pelanggan dan pemangku kepentingan, dan prosedur dimulainya kembali. c. Memastikan bahwa bisnis memahami TI setiap kali pemulihan dan investasi teknologi yang diperlukan untuk mendukung pemulihan bisnis dan kebutuhan dimulainya kembali. 9. Offside Backup Storage a. Menyimpan media backup offsite semua yang penting, dokumentasi dan sumber daya TI lainnya yang diperlukan untuk pemulihan dan perencanaan bisnis TI secara berkesinambungan. b. Menentukan isi dari penyimpanan cadangan pada kolaborasi antara pemilik proses bisnis dan personil TI. c. Manajemen fasilitas penyimpanan offsite harus menanggapi kebijakan klasifikasi data dan praktik media penyimpanan perusahaan.

195 178 d. Manajemen TI harus memastikan bahwa pengaturan offsite secara berkala dinilai, setidaknya setiap tahun, untuk konten, perlindungan lingkungan dan keamanan. e. Memastikan kompatibilitas perangkat keras dan perangkat lunak untuk mengembalikan data arsip, dan menguji secara berkala dan menyegarkan data arsip. 10. Post-resumption Review a. Menentukan apakah manajemen TI telah menetapkan prosedur untuk menilai kecukupan perencanaan sehubungan dengan dimulainya kembali sukses dari fungsi TI setelah bencana, dan memperbarui rencana yang sesuai. Seperti yang diketahui, kondisi keberlangsungan layanan pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi keberlangsungan layanan pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis. PDAM Surabaya perlu memastikan bahwa manajemen telah berkomunikasi secara konsisten untuk kebutuhan perencanaan untuk memastikan pelayanan yang berkesinambungan, hal tersebut harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan.

196 179 Agar keberlangsungan layanan pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka tanggung jawab dan standar untuk layanan harus secara kontinu ditegakkan. Tanggung jawab untuk mempertahankan rencana layanan juga harus secara kontinu ditugaskan. Kegiatan pemeliharaan didasarkan pada hasil pengujian pelayanan yang berkesinambungan, praktik baik internal, dan perubahan TI dan lingkungan bisnis. Data terstruktur tentang layanan secara terus menerus dikumpulkan, dianalisis, dilaporkan dan ditindaklanjuti. Pelatihan formal dan wajib disediakan pada proses pelayanan yang berkesinambungan. Ketersediaan sistem praktek yang baik sedang konsisten dikerahkan. Praktek ketersediaan dan berkesinambungan perencanaan layanan saling mempengaruhi. Insiden diskontinuitas diklasifikasikan, dan meningkatkan jalan eskalasi untuk setiap yang dikenal untuk semua yang terlibat. Tujuan dan metrik untuk kontinuitas layanan telah dikembangkan dan disepakati. IT Process ini berfokus pada membangun dan mengembangkan ketahanan menjadi solusi otomatis, memelihara dan perencanaan pengujian TI secara berkesinambungan, hal tersebut dapat tercapai (is achieved by) dengan aktivitasaktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikatorindikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

197 180 IT Proses Aktivitas metrik goals Memastikan bahwa layanan TI yang dibutuhkan tersedia. Memastikan meminimalisir dampak bisnis dari hal yang terjadi atas gangguan dan perubahan TI. Memastikan layanan TI dan infrastruktur dapat menahan dan pulih dari kegagalan karena kesalahan, serangan yang disengaja atau bencana. measure Jumlah jam yang hilang per pengguna per bulan akibat pemadaman yang tidak direncanakan set Membentuk rencana TI yang berkesinambungan yang mendukung rencana kelangsungan bisnis. Mengembangkan rencana TI yang berkesinambungan yang dapat dieksekusi dan diuji dan dipelihara. Meminimalkan kemungkinan gangguan layanan TI. measure Persentase ketersediaan sesuai SLA Jumlah proses bisnis penting yang mengandalkan TI yang tidak tercakup oleh rencana TI yang berkesinambungan Persentase dari tes yang mencapai tujuan pemulihan Frekuensi gangguan layanan sistem kritis set Mengembangkan dan memelihara (meningkatkan) rencana kontinjensi TI. Pelatihan dan pengujian rencana kontinjensi TI. Menyimpan salinan dari rencana kontingensi dan data di lokasi offsite. measure Waktu yang berlalu antara tes dari setiap elemen tertentu dari rencana TI yang berkesinambungan Jumlah jam pelatihan kelangsungan TI per tahun per karyawan TI yang relevan Persentase komponen infrastruktur kritis dengan pemantauan ketersediaan yang otomatis Frekuensi peninjauan rencana TI yang berkesinambungan

198 Domain DS7 Edukasi dan pelatihan pengguna Pendidikan yang efektif dari semua pengguna sistem TI, termasuk orangorang yang berkecimpung dalam TI, membutuhkan identifikasi kebutuhan pelatihan pada masing-masing kelompok pengguna. Selain kebutuhan mengidentifikasi, proses ini juga mendefinisikan dan melaksanakan strategi untuk pelatihan yang efektif dan mengukur hasil. Program pelatihan yang efektif meningkatkan penggunaan teknologi yang efektif dengan mengurangi kesalahan pengguna, meningkatkan produktivitas dan meningkatkan kepatuhan dengan kontrol utama, seperti langkah-langkah keamanan pengguna. Dalam menjalankan edukasi dan pelatihan pengguna, dibutuhkan IT Resources yaitu People. IT Proceses tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency.

199 182 Edukasi dan pelatihan pengguna memenuhi kebutuhan bisnis untuk TI yang secara efektif dan efisien menggunakan aplikasi dan solusi teknologi, serta memastikan kepatuhan pengguna dengan kebijakan dan prosedur. Maka dari itu, IT Process ini akan mendukung pencapaian Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan edukasi dan pelatihan pengguna antara lain: 1. Identification of Education and Training Needs a. Membangun dan secara teratur memperbarui kurikulum untuk setiap kelompok sasaran dari karyawan yang mempertimbangkan hal-hal berikut: i. Kebutuhan bisnis saat ini dan di masa depan dan strategi ii. Nilai informasi sebagai aset iii. Nilai-nilai perusahaan (nilai-nilai etika, kontrol dan keamanan budaya, dll) iv. Implementasi infrastruktur TI baru dan perangkat lunak ( misalnya, paket, aplikasi ) v. Keterampilan saat ini dan di masa depan, profil kompetensi, dan kebutuhan sertifikasi dan atau credentialing sebagaimana kebutuhan. vi. Metode pengiriman yang diperlukan (misalnya kelas, webbased), ukuran kelompok sasaran, aksesibilitas, dan waktu. 2. Delivery of Training and Education a. Berdasarkan kebutuhan pendidikan dan pelatihan yang telah teridentifikasi, mengidentifikasi kelompok sasaran dan anggotanya,

200 183 mekanisme pengiriman yang efisien, pembimbing, pelatih, dan mentor. b. Menunjuk pelatih dan mengatur secara berkala sesi pelatihan. c. Mencatatn pendaftaran (termasuk prasyarat), kehadiran, dan evaluasi kinerja pada sesi pelatihan. 3. Evaluation of Training Received a. Evaluasi pendidikan dan isi pelatihan pengiriman setelah selesai untuk relevansi, kualitas, efektivitas, retensi pengetahuan, biaya dan nilai. Hasil evaluasi ini harus menjadi masukan untuk definisi kurikulum masa depan dan pengiriman sesi pelatihan. Seperti yang diketahui, kondisi penerapan edukasi dan pelatihan pengguna pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan edukasi dan pelatihan pengguna pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa sebuah program pelatihan dan pendidikan telah dilembagakan dan dikomunikasikan, kemudian karyawan dan manajer mengidentifikasi kebutuhan dokumen pelatihan. Proses pelatihan dan pendidikan yang standar harus

201 184 didokumentasikan. Anggaran, sumber daya, fasilitas dan pelatih yang sedang dibentuk dapat mendukung program pelatihan dan pendidikan. Agar penerapan edukasi dan pelatihan pengguna pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka perlu adanya program pelatihan dan pendidikan yang komprehensif yang menghasilkan hasil yang terukur. Tanggung jawab jelas, dan kepemilikan proses didirikan. Pelatihan dan pendidikan merupakan komponen dari jalur karir karyawan. Manajemen harus mendukung dan menghadiri sesi pelatihan dan edukasi. Semua karyawan perlu menerima pelatihan tentang kesadaran keamanan sistem. Semua karyawan menerima tingkat yang tepat dari sistem praktik keamanan pelatihan dalam melindungi terhadap bahaya dari kegagalan yang mempengaruhi ketersediaan, kerahasiaan dan integritas. Manajemen memonitor kepatuhan dengan terus-menerus meninjau dan memperbarui program pelatihan dan edukasi. IT Process ini berfokus pada pemahaman yang jelas tentang pelatihan kebutuhan pengguna TI, pelaksanaan strategi pelatihan dan pengukuran hasil yang efektif, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

202 185 IT Proses Aktivitas metrik goals Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Memastikan kinerja dan penggunaan yang tepat dari solusi aplikasi dan teknologi. Mengoptimalkan infrastruktur TI, sumber daya dan kemampuan. measure Jumlah peningkatan produktivitas karyawan sebagai akibat dari pemahaman yang lebih baik dari sistem Persentase peningkatan kepuasan pengguna dengan peluncuran layanan, sistem atau teknologi baru set Menetapkan program pelatihan untuk pengguna di semua tingkatan menggunakan metode yang paling hemat biaya. Transfer pengetahuan untuk pengguna solusi aplikasi dan teknologi. Meningkatkan kesadaran risiko dan tanggung jawab yang terlibat dalam penggunaan solusi aplikasi dan teknologi. measure Jumlah panggilan meja layanan untuk pelatihan atau untuk menjawab pertanyaan Persentase kepuasan pemangku kepentingan dengan pelatihan yang diberikan Persentase karyawan yang terlatih set Membangun kurikulum pelatihan Mengorganisir pelatihan Menyampaikan pelatihan Pemantauan dan pelaporan atas keefektivan pelatihan measure Frekuensi update kurikulum pelatihan Waktu jeda antara identifikasi kebutuhan pelatihan dan pengiriman pelatihan

203 Domain DS8 Mengelola Services Desk dan insiden Respon yang tepat waktu dan efektif terkait permintaan TI oleh pengguna dan masalah yang membutuhkan proses manajemen service desk dan insiden yang dirancang dengan baik dan dilaksanakan dengan baik. Proses ini termasuk menyiapkan fungsi meja layanan dengan pendaftaran, insiden eskalasi, tren dan analisis akar penyebab, dan resolusi. Manfaat bisnis meliputi peningkatan produktivitas melalui resolusi yang cepat dari permintaan pengguna. Selain itu, bisnis dapat juga mengatasi akar penyebab (seperti pelatihan pengguna yang belum paham) melalui pelaporan yang efektif. Dalam mengelola Services Desk dan insiden, dibutuhkan IT Resources yaitu Applications dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness dan Efficiency. Pengelolaan services desk dan insiden memenuhi kebutuhan bisnis untuk TI yang memungkinkan penggunaan yang efektif dari sistem TI dengan

204 187 memastikan resolusi dan analisis permintaan pengguna akhir, pertanyaan dan insiden. Maka dari itu, IT Process ini akan mendukung pencapaian Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengelola Services Desk dan insiden antara lain: 1. Service Desk a. Membangun fungsi service desk, yang merupakan user interface dengan IT, untuk mendaftar, berkomunikasi, pengiriman dan analisa semua panggilan, pelaporan insiden, permintaan layanan dan tuntutan informasi. b. Harus ada monitoring dan eskalasi prosedur berdasarkan yang disepakati pada tingkat pelayanan relatif terhadap SLA yang tepat yang memungkinkan klasifikasi dan prioritas dari setiap masalah yang dilaporkan sebagai sebuah insiden, permintaan layanan atau permintaan informasi. c. Mengukur kepuasan pengguna akhir dengan kualitas service desk dan layanan TI. 2. Registration of Costumer Queries a. Membangun fungsi dan sistem untuk memungkinkan untuk logging dan pelacakan panggilan, insiden, permintaan layanan dan kebutuhan informasi. b. Hal tersebut harus bekerja sama dengan proses lainnya seperti manajemen insiden, manajemen masalah, manajemen perubahan, manajemen kapasitas, dan manajemen ketersediaan.

205 188 c. Insiden tersebut harus diklasifikasikan menurut prioritas bisnis dan layanan dan diteruskan kepada tim manajemen masalah yang tepat, dimana diperlukan. d. Pelanggan harus menyimpan informasi tentang status permintaan mereka. 3. Incident Escalation a. Menetapkan prosedur service desk, sehingga insiden yang tidak dapat segera diselesaikan secara tepat meningkat sesuai dengan batas-batas yang ditentukan dalam SLA, jika sesuai, solusi akan disediakan. b. Pastikan bahwa kepemilikan insiden dan pemantauan siklus hidup tersebut tetap dengan service desk untuk insiden berbasis pengguna, terlepas kelompok TI mana yang bekerja pada kegiatan resolusi tertentu. 4. Incident Closure a. Menetapkan prosedur untuk pemantauan berkala dari clearance permintaan pelanggan. b. Saat kejadian telah diselesaikan, memastikan bahwa service desk mencatat langkah-langkah resolusi, dan memastikan bahwa tindakan yang diambil telah disetujui oleh pelanggan. c. Juga mencatat dan melaporkan insiden yang belum terselesaikan untuk memberikan informasi bagi manajemen masalah yang tepat. 5. Reporting and Trend Analysis

206 189 a. Menghasilkan laporan kegiatan service desk untuk memungkinkan manajemen untuk mengukur kinerja pelayanan dan waktu respon layanan dan untuk mengidentifikasi tren atau masalah yang berulang, sehingga layanan dapat terus ditingkatkan. Seperti yang diketahui, kondisi pengelolaan Services Desk dan insiden pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengelolaan Services Desk dan insiden pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa pertanyaan yang sering diajukan (FAQ) dan pedoman pengguna dikembangkan. Selain itu, pengguna juga telah menerima komunikasi yang jelas di mana dan bagaimana untuk melaporkan masalah dan insiden yang terjadi. Agar pengelolaan Services Desk dan insiden pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka perlu adanya pemahaman yang penuh akan manfaat dari proses manajemen insiden di semua tingkatan organisasi, dan fungsi meja layanan didirikan pada unit organisasi yang tepat. Alat dan teknik yang otomatis dengan basis pengetahuan yang terpusat. Anggota staf meja layanan erat berinteraksi dengan anggota staf manajemen masalah. Tanggung jawab yang jelas, dan efektivitas yang dipantau. Prosedur untuk berkomunikasi, meningkat dan

207 190 menyelesaikan insiden ditetapkan dan dikomunikasikan. Personil meja layanan dilatih, dan proses ditingkatkan melalui penggunaan software tugas khusus. Manajemen mengembangkan metrik untuk kinerja meja layanan. IT Process ini berfokus pada fungsi meja layanan yang profesional dengan respon cepat, prosedur eskalasi yang jelas, dan resolusi dan analisis tren, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

208 191 IT Proses Aktivitas metrik goals Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Memastikan kinerja dan penggunaan yang tepat dari solusi aplikasi dan teknologi. Memastikan bahwa layanan TI yang dibutuhkan tersedia. measure Jumlah kepuasan pengguna dengan dukungan lini pertama (meja layanan atau basis pengetahuan) Persentase insiden yang diselesaikan dalam waktu yang telah disepakati / periode waktu yang dapat diterima set Menganalisa, dokumentasi dan escalate insiden secara tepat waktu. Menanggapi pertanyaan secara akurat dan tepat waktu. Melakukan analisis kecenderungan insiden dan permintaan reguler. measure Persentase resolusi lini pertama berdasarkan jumlah permintaan Persen insiden yang dibuka kembali Tingkat pengabaian panggilan Durasi rata-rata insiden dengan keparahan Kecepatan rata-rata dalam menanggapi telepon dan / permintaan web set Instalasi dan operasi meja layanan Pemantauan dan pelaporan tren Menyelaraskan prioritas resolusi insiden dengan imperatif bisnis Mendefinisikan kriteria dan prosedur eskalasi yang jelas measure Persentase insiden dan layanan permintaan yang dilaporkan dan dicatat menggunakan alat otomatis Jumlah hari pelatihan per anggota staf meja layanan per tahun Jumlah panggilan yang ditangani per anggota staf meja layanan per jam Persentase insiden yang membutuhkan dukungan lokal (dukungan lapangan, kunjungan pribadi) Jumlah pertanyaan yang belum terselesaikan

209 Domain DS10 Menejemen masalah Manajemen masalah yang efektif memerlukan identifikasi dan klasifikasi masalah, analisis akar penyebab dan resolusi masalah. Proses manajemen masalah juga mencakup perumusan rekomendasi untuk perbaikan, pemeliharaan catatan masalah dan penelaahan tindakan korektif. Sebuah proses manajemen masalah yang efektif memaksimalkan ketersediaan sistem, meningkatkan tingkat layanan, mengurangi biaya, dan meningkatkan kenyamanan dan kepuasan pelanggan. Dalam menjalankan manajemen masalah, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, dan Availabillity.

210 193 Manajemen masalah memenuhi kebutuhan bisnis untuk TI dalam memastikan kepuasan pengguna akhir 'dengan penawaran layanan dan tingkat layanan, serta mengurangi pengiriman solusi dan layanan yang cacat dan berulang. Maka dari itu, IT Process ini akan mendukung pencapaian Value Delivery yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan manajemen masalah antara lain: 1. Identification and Classification of Problems a. Melaksanakan proses untuk melaporkan dan mengklasifikasikan masalah yang telah diidentifikasi sebagai bagian dari manajemen insiden. b. Langkah-langkah yang terlibat dalam klasifikasi masalah serupa dengan langkah-langkah dalam mengklasifikasikan insiden seperti menentukan kategori, dampak, urgensi, dan prioritas. c. Mengkategorikan masalah yang sesuai ke dalam kelompok atau domain (misalnya, perangkat keras, perangkat lunak, perangkat lunak pendukung) yang terkait. d. Kelompok-kelompok tersebut dapat cocok dengan tanggung jawab organisasi pengguna dan basis pelanggan, dan harus menjadi dasar untuk mengalokasikan masalah untuk mendukung staf. 2. Problem Tracking and Resolution a. Memastikan bahwa sistem manajemen masalah menyediakan fasilitas audit trail yang memadai yang memungkinkan pelacakan, menganalisis, dan menentukan akar penyebab semua pelaporan masalah yang mempertimbangkan:

211 194 i. Semua item konfigurasi yang terkait ii. Masalah dan insiden yang luar biasa iii. Kesalahan yang telah dikenal dan yang masih diduga kesalahan iv. Pelacakan dari tren masalah b. Mengidentifikasi dan memulai solusi yang berkelanjutan untuk mengatasi akar penyebab, meningkatkan permintaan perubahan melalui proses perubahan manajemen yang mapan. c. Selama proses penyelesaian, manajemen masalah harus mendapatkan laporan berkala dari manajemen perubahan dalam menyelesaikan masalah dan kesalahan. d. Manajemen masalah harus memantau dampak berkelanjutan dari masalah itu sendiri dan kesalahan yang telah dikenal pada layanan pengguna. 3. Problem Closure a. Menempatkan prosedur untuk menutup catatan masalah baik setelah konfirmasi penghapusan sukses dari kesalahan yang telah diketahui ataupun setelah perjanjian dengan bisnis tentang bagaimana alternatif menangani masalah tersebut. 4. Integration of Configuration, Incident and Problem Management a. Mengintegrasikan proses yang terkait konfigurasi, insiden, dan manajemen masalah untuk memastikan manajemen yang efektif dari masalah dan memungkinkan perbaikan.

212 195 Seperti yang diketahui, kondisi penerapan manajemen masalah pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan manajemen masalah pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa kebutuhan sistem manajemen masalah yang terpadu secara efektif diterima dan dibuktikan dengan dukungan manajemen, anggaran dan pelatihan untuk staf tersedia. Agar penerapan manajemen masalah pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka proses manajemen masalah haruslah dipahami di semua tingkatan dalam organisasi. Tanggung jawab dan kepemilikan yang jelas dan mapan. Metode dan prosedur didokumentasikan, dikomunikasikan dan diukur untuk efektivitas. Mayoritas masalah diidentifikasi, dicatat dan dilaporkan, dan resolusi dimulai. Pengetahuan dan keahlian dibudidayakan, dipelihara dan dikembangkan ke tingkat yang lebih tinggi, sebagai fungsi dipandang sebagai aset dan kontributor utama terhadap pencapaian tujuan TI dan peningkatan layanan TI. Masalah manajemen terintegrasi dengan baik dengan proses yang saling berkaitan, seperti kejadian, perubahan, ketersediaan dan manajemen konfigurasi, dan

213 196 membantu pelanggan dalam mengelola data, fasilitas dan operasi. Tujuan dan metrik harus sudah disepakati untuk proses manajemen masalah. IT Process ini berfokus pada perekaman, pelacakan dan menyelesaikan masalah operasional, menyelidiki akar penyebab dari semua masalah yang signifikan serta mendefinisikan solusi untuk masalah operasi yang telah diidentifikasi, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

214 197 IT Proses Aktivitas metrik goals Menjamin kepuasan pengguna terakhir dengan penawaran layanan dan level layanan. Mengurangi cacat solusi dan pengiriman pelayanan yang dikerjakan berulang ulang. Melindungi pencapaian tujuan TI. measure Jumlah masalah yang berulang dengan dampak pada bisnis Jumlah gangguan bisnis yang disebabkan oleh masalah operasional set Merekam dan melacak masalah operasional melalui resolusi. Menyelidiki akar penyebab semua masalah yang signifikan. Menentukan solusi untuk masalah operasi yang diidentifikasi. measure Persentase masalah yang dicatat dan dilacak Persentase dari masalah yang kambuh (dalam jangka waktu), oleh keparahan Persentase masalah yang diselesaikan dalam jangka waktu yang diperlukan Jumlah masalah yang terbuka / baru / ditutup, oleh keparahan Rata-rata dan standar deviasi dari jeda waktu antara identifikasi dan resolusi masalah Rata-rata dan standar deviasi dari jeda waktu antara penyelesaian dan penutupan masalah set Menetapkan kewenangan yang cukup untuk manajer permasalahan Melakukan analisis akar penyebab dari masalah yang dilaporkan Menganalisis tren Mengambil kepemilikan masalah dan kemajuan penyelesaian masalah measure Rata-rata durasi antara penebangan masalah dan identifikasi akar penyebab Persentase masalah yang menjadi analisis akar penyebab diambil alih Frekuensi laporan atau pembaruan masalah yang sedang berlangsung, berdasarkan tingkat keparahan masalah

215 Domain DS12 Menejemen lingkungan fisik Perlindungan untuk peralatan komputer dan personil membutuhkan fasilitas fisik yang dirancang dengan baik dan dikelola dengan baik. Proses pengelolaan lingkungan fisik meliputi mendefinisikan persyaratan situs fisik, memilih fasilitas yang sesuai, dan merancang proses yang efektif untuk memantau faktor lingkungan dan mengelola akses fisik. Manajemen yang efektif dari lingkungan fisik mengurangi gangguan bisnis dari kerusakan peralatan komputer dan personil. Dalam menjalankan menejemen lingkungan fisik, dibutuhkan IT Resources yaitu Infrastructure. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Integrity dan Availabillity. Manajemen lingkungan fisik memenuhi kebutuhan bisnis untuk TI dalam melindungi aset komputer dan data bisnis, serta meminimalkan risiko gangguan

216 199 bisnis. Maka dari itu, IT Process ini akan mendukung pencapaian Risk Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan menejemen lingkungan fisik antara lain: 1. Site Selection and Layout a. Menentukan dan memilih situs fisik untuk peralatan TI untuk mendukung strategi teknologi dengan strategi bisnis terkait. b. Pemilihan dan desain tata letak situs harus memperhitungkan risiko yang terkait dengan bencana alam dan buatan manusia, sementara mempertimbangkan hukum dan peraturan, seperti peraturan kesehatan dan keselamatan kerja. 2. Physical Security Measure a. Mendefinisikan dan menerapkan langkah-langkah keamanan fisik yang sejalan dengan kebutuhan bisnis untuk mengamankan lokasi dan aset fisik. b. Langkah-langkah keamanan fisik harus mampu secara efektif mencegah, mendeteksi, dan mitigasi risiko yang berkaitan dengan pencurian, suhu, api, asap, air, getaran, teror, vandalisme, listrik padam, bahan kimia atau bahan peledak. 3. Physical Access a. Mendefinisikan dan menerapkan prosedur untuk memberikan batas dan mencabut akses ke tempat, bangunan, dan daerah yang sesuai dengan kebutuhan bisnis, termasuk keadaan darurat. b. Akses ke tempat, bangunan, dan daerah harus dibenarkan, resmi, login, dan dipantau.

217 200 c. Hal tersebut harus berlaku untuk semua orang yang memasuki tempat, termasuk staf, staf sementara, klien, vendor, pengunjung atau pihak ketiga lainnya. 4. Procetion Against Environment Factors a. Merancang dan menerapkan langkah-langkah untuk perlindungan terhadap faktor lingkungan. b. Memasang peralatan dan perangkat khusus untuk memantau dan mengontrol lingkungan. 5. Physical Fasilities Management a. Mengelola fasilitas, termasuk listrik dan peralatan komunikasi, yang sejalan dengan hukum dan peraturan, persyaratan teknis dan bisnis, spesifikasi vendor, dan pedoman kesehatan dan keselamatan. Seperti yang diketahui, kondisi penerapan menejemen lingkungan fisik pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan menejemen lingkungan fisik pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa kebutuhan untuk menjaga lingkungan komputasi dapat dikendalikan, dipahami, dan diterima dalam organisasi. Kontrol lingkungan, pemeliharaan preventif dan

218 201 keamanan fisik disetujui dan dilacak oleh manajemen. Pembatasan akses diterapkan, dengan hanya personil yang diizinkan saja yang dapat mengakses ke fasilitas komputasi. Pengunjung harus login dan dikawal. Otoritas sipil memantau kepatuhan terhadap peraturan kesehatan dan keselamatan. Risiko diasuransikan dengan sedikit usaha untuk mengoptimalkan biaya asuransi. Agar penerapan menejemen lingkungan fisik pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka kebutuhan untuk menjaga lingkungan komputasi yang dikendalikan harus sepenuhnya dipahami, seperti terlihat dalam alokasi struktur dan anggaran organisasi. Persyaratan keamanan lingkungan dan fisik didokumentasikan, dan akses secara ketat dikontrol dan dimonitor. Tanggung jawab dan kepemilikan ditetapkan dan dikomunikasikan. Para anggota fasilitas staf harus terlatih dalam situasi darurat, serta dalam praktik kesehatan dan keselamatan. Mekanisme kontrol yang standar berada di tempat untuk membatasi akses ke fasilitas dan mengatasi faktor lingkungan dan keselamatan. Manajemen memantau efektivitas kontrol dan sesuai dengan standar yang ditetapkan. Manajemen harus memiliki tujuan dan metrik untuk mengukur pengelolaan lingkungan komputasi. Pemulihan sumber daya komputasi yang dimasukkan ke dalam proses manajemen risiko organisasi. Informasi yang terintegrasi yang digunakan untuk mengoptimalkan cakupan asuransi dan biaya terkait. IT Process ini berfokus pada penyediaan dan pemeliharaan lingkungan fisik yang sesuai untuk melindungi aset dari akses, kerusakan atau pencurian TI, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun

219 202 penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

220 203 metrik goals Memastikan layanan dan infrastruktur TI benar-benar dapat menahan dan pulih dari kegagalan karena kesalahan, serangan yang disengaja atau bencana. Memastikan bahwa informasi yang penting dan rahasia dipungut dari orangorang yang seharusnya tidak memiliki akses ke sana. Memastikan meminimalisir dampak bisnis dari hal yang terjadi atas gangguan dan perubahan TI. Memperhitungkan dan melindungi semua aset TI. Jumlah downtime yang timbul dari insiden lingkungan fisik Jumlah luka yang disebabkan oleh lingkungan fisik Jumlah eksposur keamanan yang timbul dari insiden lingkungan fisik IT Proses Aktivitas measure set Menyediakan dan memelihara lingkungan fisik yang sesuai dengan infrastruktur dan sumber daya TI. Membatasi akses ke lingkungan fisik dari mereka yang tidak membutuhkan akses. measure Jumlah insiden karena pelanggaran atau kegagalan keamanan fisik Jumlah insiden akses tidak sah ke fasilitas komputer set Menerapkan langkah-langkah keamanan fisik Secara ketat memilih dan mengelola fasilitas measure Frekuensi pelatihan personil pada keamanan, ukuran keamanan dan fasilitas Persentase personil yang terlatih dalam keamanan, ukuran keamanan dan fasilitas Jumlah tes mitigasi risiko yang dilakukan pada tahun lalu Frekuensi penilaian dan ulasan risiko fisik

221 Domain DS13 Menjemen operasi Memproses pelengkapan dan pengakurasian data yang membutuhkan manajemen yang efektif dari prosedur pengolahan data dan pemeliharaan hardware yang rajin. Proses ini meliputi pendefinisian kebijakan operasi dan prosedur untuk manajemen yang efektif dari pengolahan yang dijadwalkan, melindungi output yang sensitif, pemantauan kinerja infrastruktur dan memastikan pemeliharaan preventif perangkat keras. Manajemen operasi yang efektif membantu menjaga integritas data dan mengurangi penundaan bisnis dan biaya operasi TI. Dalam menjalankan menejemen operasi, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Integrity, dan Availabillity. Manajemen operasi memenuhi kebutuhan bisnis untuk TI dalam mempertahankan integritas data dan memastikan bahwa infrastruktur TI dapat

222 205 menahan dan dapat pulih dari kesalahan dan kegagalan. Maka dari itu, IT Process ini akan mendukung pencapaian Resources Management yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam menjalankan menejemen operasi antara lain: 1. Operations Procedures and Instructions a. Mendefinisikan, menerapkan, dan memelihara prosedur untuk operasi TI, memastikan bahwa anggota staf operasi yang akrab dengan semua tugas operasi relevan untuk mereka. b. Prosedur operasional harus mencakup pergeseran serah terima (serah terima resmi dari aktivitas, update status, masalah operasional, prosedur eskalasi, dan laporan tanggung jawab saat ini) untuk mendukung kesepakatan tingkat layanan dan memastikan operasi terus menerus. 2. Job Scheduling a. Mengatur penjadwalan pekerjaan, proses, dan tugas ke dalam urutan yang paling efisien, memaksimalkan throughput dan pemanfaatannya untuk memenuhi kebutuhan bisnis. 3. IT Infrastructure Monitoring a. Mendefinisikan dan menerapkan prosedur untuk memantau infrastruktur TI dan kegiatan yang terkait. b. Memastikan bahwa informasi kronologis yang cukup disimpan dalam log operasi untuk memungkinkan rekonstruksi, review, dan pemeriksaan dari urutan waktu operasi dan kegiatan lain di sekitarnya atau operasi yang mendukung.

223 Sensitive Document and Output Devices a. Membangun pengamanan fisik yang memadai, praktik akuntansi, dan manajemen persediaan atas aset TI yang sensitif, seperti bentukbentuk khusus, surat berharga, printer tujuan khusus atau token keamanan. 5. Preventive Maintenance for Hardware a. Mendefinisikan dan menerapkan prosedur untuk memastikan perawatan yang tepat waktu dari infrastruktur untuk mengurangi frekuensi dan dampak yang disebabkan oleh kegagalan atau penurunan kinerja. Seperti yang diketahui, kondisi penerapan menejemen operasi pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi penerapan menejemen operasi pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. PDAM Surabaya perlu memastikan bahwa kebutuhan manajemen operasi komputer dapat dipahami dan diterima dalam organisasi. Peristiwa dan hasil tugas yang selesai harus dicatat. Penggunaan penjadwalan otomatis dan alat-alat lain diperkenalkan untuk membatasi intervensi

224 207 pihak tertentu. Selain itu, perlu adanya sebuah kebijakan formal untuk mengurangi jumlah kejadian yang terjadwal. Agar penerapan menejemen operasi pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka operasi komputer dan dukungan tanggung jawab yang jelas dan kepemilikan harus sudah ditugaskan. Operasi yang didukung melalui anggaran sumber daya untuk belanja modal dan sumber daya manusia. Pelatihan formal dan berkelanjutan. Jadwal dan tugas didokumentasikan dan dikomunikasikan, baik secara internal ke fungsi TI dan pelanggan bisnis. Hal ini dimungkinkan untuk mengukur dan memantau kegiatan sehari-hari dengan perjanjian kinerja standar dan tingkat pelayanan yang ditetapkan. Setiap penyimpangan dari norma-norma yang cepat ditangani dan diperbaiki. Manajemen memonitor penggunaan sumber daya komputasi dan penyelesaian pekerjaan atau tugas yang diberikan. Upaya yang berkesinambungan ada untuk meningkatkan tingkat otomatisasi proses sebagai sarana perbaikan terus-menerus. Perjanjian pemeliharaan dan layanan formal ditetapkan dengan vendor. Perlu adanya keselarasan penuh dengan proses masalah, kapasitas dan proses manajemen ketersediaan, didukung oleh analisis penyebab kesalahan dan kegagalan. IT Process ini berfokus pada pemenuhan tingkat layanan operasional untuk pengolahan data yang dijadwalkan, melindungi keluaran yang sensitif, serta pemantauan dan pemeliharaan infrastruktur, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

225 208

226 209 IT Proses Aktivitas metrik goals Memastikan layanan dan infrastruktur TI benar-benar dapat menahan dan pulih dari kegagalan karena kesalahan, serangan yang disengaja atau bencana. Memastikan bahwa layanan TI yang dibutuhkan tersedia. Memastikan layanan TI yang tersedia sesuai dengan yang diperlukan. measure Jumlah tingkat layanan yang dipengaruhi oleh insiden operasional Jam downtime yang tidak direncanakan yang disebabkan oleh insiden operasional set Menentukan prosedur operasional dan menyelaraskan mereka ke tingkat layanan yang telah disepakati. Melengkapi pengolahan terjadwal dan permintaan khusus dengan tingkat layanan dalam waktu yang telah disepakati. Memberikan pengamanan fisik untuk informasi yang sensitif. measure Jumlah insiden downtime dan penundaan yang disebabkan oleh menyimpang dari prosedur operasi Persentase kerja yang dijadwalkan dan permintaan yang tidak selesai tepat waktu Jumlah insiden downtime dan penundaan yang disebabkan oleh prosedur yang tidak memadai set Mengoperasikan lingkungan TI yang sejalan dengan tingkat layanan yang disepakati, dengan petunjuk yang ditetapkan dan pengawasan yang ketat Pencegahan pemeliharaan dan pemantauan infrastruktur TI measure Jumlah hari pelatihan per personil operasi per tahun Persentase aset hardware termasuk dalam jadwal pemeliharaan preventif Persentase dari jadwal kerja yang otomatis Frekuensi update untuk prosedur operasional

227 Domain ME1 Mengamati dan mengevaluasi peforma TI Manajemen kinerja TI yang efektif membutuhkan proses monitoring. Proses ini meliputi penentuan indikator kinerja yang relevan, pelaporan kinerja yang sistematis dan tepat waktu, dan cepat bertindak atas penyimpangan. Pemantauan diperlukan untuk memastikan bahwa hal yang benar dilakukan dan sejalan dengan arah dan kebijakan. Dalam mengamati dan mengevaluasi peforma TI, dibutuhkan IT Resources antara lain Applications, Information, Infrastructure, dan People. IT Process tersebut akan menjawab kriteria informasi (information criteria) yakni Effectiveness, Efficiency, Confidentiallity, Integrity, Availabillity, Compliance, dan Reliabillity. Proses pengamatan dan evaluasi kinerja TI memenuhi kebutuhan bisnis untuk TI terkait transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan

228 211 dan tingkat pelayanan yang sesuai dengan kebutuhan pemerintahan. Maka dari itu, IT Process ini akan mendukung pencapaian Performance Measurement yang sesuai dengan IT Governance Focus Area. Hal-hal yang perlu diperhatikan dalam mengamati dan mengevaluasi peforma TI antara lain: 1. Monitoring Approach a. Membentuk kerangka pemantauan yang secara umum yang memiliki pendekatan ruang lingkup, metodologi, dan proses-proses yang harus diikuti untuk mengukur efektifitas dari solusi teknologi informasi dan layanan pengiriman, serta memantau kontribusi teknologi informasi terhadap bisnis. b. Mengintegrasikan kerangka yang ada dengan sistem manajemen kinerja perusahaan. 2. Definition and Collection of Monitoring Data a. Memastikan keseimbangan target dan memastikan target telah disetujui oleh pemangku kepentingan. b. Menentukan tolak ukur yang dapat digunakan untuk perbandingan dengan sasaran, dan mengidentifikasi data yang tersedia kemudian dikumpulkan untuk mengkur sejauh mana keberhasilan target itu sendiri. c. Menetapkan proses apa yang sekiranya dapat mengumpulkan data lebih tepat waktu dan akurat untuk melaporkan kemajuan terhadap target. 3. Monitoring Method

229 212 a. Memantau kinerja yang mencatat target, memberikan ringkasan hasil dari kinerja teknologi informasi, dan memasukannya ke dalam sistem pemantauan perusahaan. 4. Performance Assessment a. Peninjauan kinerja terhadap target secara berkala, melakukan analisa mengenai penyebab penyimpangan, dan melakukan tindakan perbaikan untuk mengatasi permasalahan tersebut. 5. Board and Executive Reporting a. Mengembangkan laporan manejemen yang berhubungan dengan hasil dukungan teknologi informasi terhadap bisnis, khusunya dalam hal kinerja portofolio perusahaan, program investasi TI perusahaan, serta solusi dan layanan kinerja program individu. b. Melaporkan sejauh mana pencapaian tujuan perusahaan, besaran sumber daya yang dianggarkan, dan kinerja-kinerja yang telah memenuhi target. c. Memberikan laporan kepada pihak senior ataupun eksekutif, dan mengumpulkan feedback dari tinjauan manajemen. 6. Remedial Actions a. Mengidentifikasi dan memberikan respons atau tindakan perbaikan berdasarkan pementauan kinerja, penilaian, dan pelaporan yang telah berlangsung. Seperti yang diketahui, kondisi pengamatan dan evaluasi peforma TI pada PDAM Surabaya saat ini, adalah adanya prosedur yang telah distandarisasi dan didokumentasikan, serta dikomunikasikan melalui pelatihan ataupun praktik

230 213 formal. Hal ini mengamanatkan bahwa proses-proses tersebut harus diikuti. Sementara, kondisi pengamatan dan evaluasi peforma TI pada PDAM Surabaya yang diharapkan adalah proses TI yang terkelola dan terukur yang sesuai dengan prosedur dan pengambilan tindakan dimana penerapan tersebut dikhawatirkan tidak akan bekerja secara efektif. Oleh karena itu, terdapat kesenjangan dari hasil gap analysis yaitu penilaian yang masih dilakukan pada IT Process secara terpisah dan tidak terintegrasi antara semua proses. PDAM Surabaya perlu melakukan penilaian IT Process yang diterapkan secara keseluruhan untuk mengetahui sejauh mana kinerja dari IT Process itu sendiri yang kelak dapat dijadikan bahan evaluasi. Hal tersebut yang harus terlebih dahulu dipenuhi sebelum beranjak naik kepada tingkat kematangan yang diharapkan. Agar pengamatan dan evaluasi peforma TI pada PDAM Surabaya sesuai dengan kondisi yang diharapkan, maka manajemen perlu mendefinisikan toleransi di mana proses harus beroperasi. Pelaporan hasil monitoring sedang distandarisasi dan dinormalisasi. Adanya integrasi metrik di semua proyek TI dan proses. Sistem pelaporan manajemen organisasi TI harus diformalkan. Alat otomatis terintegrasi untuk mengumpulkan dan memantau informasi operasional pada aplikasi, sistem dan proses. Manajemen dapat mengevaluasi kinerja berdasarkan kriteria yang disetujui oleh para pemangku kepentingan. Pengukuran fungsi TI selaras dengan tujuan organisasi secara luas. IT Process ini berfokus pada pemantauan dan pelaporan proses dan mengidentifikasi dan menerapkan tindakan perbaikan kinerja, hal tersebut dapat tercapai (is achieved by) dengan aktivitas-aktivitas didalamnya dan juga dapat diukur (is measured by) dengan indikator-indikator tertentu. Adapun penjelasan

231 214 lebih lengkap mengenai aktivitas dan indikator pengukuran dari IT Process ini dapat dilihat pada tabel berikut.

232 215 metrik goals Menanggapi kebutuhan bisnis sejalan dengan strategi bisnis. Menanggapi persyaratan tata kelola yang sejalan dengan board direction. Memastikan bahwa TI dapan menunjukan kualitas layanan costefficient, perbaikan secara kontinu dan kesiapan dalam menanggapi perubahan masa depan. Memastikan transparasi dan pengertian biaya TI, keuntungan, strategi, policies, dan tingkat pelayanan. Jumlah perubahan untuk target indikator efektivitas dan efisiensi proses TI Jumlah kepuasan manajemen dan entitas pemerintahan dengan pelaporan kinerja Jumlah reduction dari jumlah outstanding process deficiencies IT Proses Aktivitas measure set Menentukan tujuan yang measureable untuk TI dan proses kuncinya. Mengukur, memonitor, dan metrik proses laporan. Mengidentifikasi dan mengimplementasi aksi pengembangan performa. measure Jumlah kepuasan pemangku kepentingan dengan proses pengukuran Persentase proses kritis yang dipantau Jumlah tindakan perbaikan yang didorong oleh kegiatan pemantauan Jumlah target kinerja yang tercapai (Indikator yang dikontrol) set Capturing, collating dan menerjemahkan laporan performa proses kedalam laporan manajemen. Melakukan review performa yang melawan target kesepakatan bersama dan menginisiasikan aksi remedial. measure Waktu jeda antara pelaporan kekurangan dan inisiasi tindakan Jumlah keterlambatan pembaruan pengukuran untuk mencerminkan tujuan kinerja, langkahlangkah, target dan tolok ukur yang sebenarnya Jumlah metrik (per proses) Jumlah hubungan sebab-akibat yang diidentifikasi dan dimasukkan dalam pemantauan Jumlah usaha yang diperlukan untuk mengumpulkan data yang diukur Jumlah masalah yang tidak diidentifikasi oleh proses yang diukur Persentase metrik yang dapat mengacu ke standar industri dan target yang ditetapkan

233 Performance Measurement Dalam versi sebelumnya dari COBIT menggunakan istilah KGI dan KPI, namun untuk sekarang telah diganti dengan dua jenis metrik, yaitu: 1. Ukuran hasil (Outcome measures), sebelumnya dikenal dengan istilah KGI, menunjukkan apakah tujuan telah terpenuhi. Hal ini dapat diukur setelah adanya fakta, karena itu disebut juga dengan istilah lag indicators. 2. Indikator kinerja (Performance indicators), sebelumnya dikenal dengan istilah KPI, menunjukkan apakah tujuan kemungkinan akan terpenuhi. Hal ini dapat diukur sebelum hasilnya jelas, karena itu disebut juga dengan istilah lead indicators. Ilustrasi dari performance measurement dapat dilihat pada gambar 4.5. dibawah ini. Gambar 4.5. Ilustrasi performance measurement Dapat dilihat bagaimana alur dari Business Goal mengalir hingga pada terakhir yakni Activity Goals. Business Goal akan menghasilkan IT Goal yang kemudian akan menjadi masukan (input) untuk penyusunan Process Goals. Begitupun juga Process Goals yang akan menjadi masukan (input) untuk penyusunan Activity Goals. Bilamana diurutkan, terlihat bahwa Business Goal merupakan KGI sementara IT Goals sebagai KPI-nya. Kemudian IT Goal

234 217 merupakan KGI sementara Process Goals sebagai KPI-nya. Dan yang terakhir Process Goal merupakan KGI sementara Activity Goals sebagai KPI-nya. Sebagai contoh kemungkinan (possible of the example) dari Ukuran hasil (Outcome measures) dapat dilihat pada gambar 4.6 dibawah ini. Gambar 4.6. Contoh Kemungkinan Outcome measures Sementara contoh kemungkinan (possible of the example) dari Indikator kinerja (Performance indicators) dapat dilihat pada gambar 4.7 dibawah ini. Gambar 4.7. Contoh Kemungkinan Performance indicators Pada dasarnya, pada setiap domain Proses TI telah terdapat bagaimana Outcome measures dan Performance indicators diukur, hal tersebut tergambar jelas pada sub-bab Goals and Metric seperti pada gambar 4.8. Untuk melihat bagaimana Outcome measures dan Performance indicators terpetakan (mapped) secara lebih luas, dapat dilihat pada Lampiran 8.

235 Gambar 4.8. Goals and Metric 218